カスペルスキーがiOSで仮想通貨マイニングを行うマルウェアRoaming Mantis続報を報告

　株式会社カスペルスキーは10月12日、Kaspersky Labが複数回にわたり情報提供しているルーターのDNS設定を改ざんするマルウェア「Roaming Mantis」の続報をブログにて公開した。Roaming Mantisは、Androidアプリの正規アプリになりすます手口で感染しルーターを乗っ取るというマルウェアだが、最近の調査で急速な進化を遂げていることがわかり、現在27の言語に対応し攻撃地域がアジアから欧州や中東にまで拡大しているという。また、攻撃対象がAndroidのみならず、iOSデバイスもターゲットにしていることがわかった。攻撃方法についても、Web仮想通貨マイニングや悪意あるコンテンツ配信システムを利用した拡散など、新たな手法を取り入れ始めていることを明らかにしている。

　Roaming Mantisを仕掛ける犯罪グループが、iOSデバイスを対象としたAppleのフィッシングサイトで認証情報を盗み取っていることがKaspersky Labの調査で確認されている。また、調査中にフィッシングサイトへ誘導するWebサイトのリダイレクトが一時期無効になり、iOSデバイスでWebマイニングをするスクリプト（以前はPCプラットフォームのみを対象としていたもの）が追加されていたことも確認されている。iOSデバイスでこのサイトにアクセスすると空白のページが表示され、バックグラウンドでCPUの使用率が90%に達することもわかっているとのこと。しかし、その翌日にはマイニングをやめて再びフィッシングサイトへのリダイレクトが有効になるなど、犯罪グループがより効率のよい収益化の方法を探っていることも伺えるという。

　さらにKaspersky Labのレポートでは、日本の宅配業者からの通知に見せかけたSMSによるマルウェアの感染方法を報告する。メッセージには悪意あるURLが含まれており、クリックすると偽サイトが表示され「sagawa.apk」というアプリのインストールを促すという。この経路で感染するマルウェアの中には日本のみをターゲットとするタイプのマルウェアがあることもわかっている。このマルウェアは、感染したデバイスに日本のプリペイドカードアプリがインストールされているかどうかを探り、インストールされていることを確認すると、マルウェアはアプリの更新に見せかけ、偽アプリをダウンロードさせるという。

　この他にもRoaming Mantisは、動画などの無料コンテンツと見せかけてマルウェアをインストールさせようとする手法など、さまざまなマルウェアの拡散を試みているという。Kaspersky Labは、特にAndroidを使用するユーザーに対して、公式ストア以外から提供されるアプリのインストールを許可するオプションを無効にするよう注意を促している。