ルータ侵害による不正アプリ配布、Facebookの次は「Chrome」を偽装

何らかの手法を用いてルータのDNS設定を勝手に変更し、攻撃者が用意したサイトに誘導して情報を盗むAndroidアプリをインストールさせる攻撃が確認されているが、攻撃手法を徐々に変化させつつも、引き続き発生している模様だ。

不正サイトで表示されるメッセージ（画像：トレンドマイクロ）

トレンドマイクロでは、当初発見された誘導先サイトの停止を確認していたが、その後、あらたにダウンロードサイトが用意されていることを観測したという。

今回確認された誘導先では、メッセージの内容を変更。従来は「Facebook拡張ツールバッグ」のダウンロードに見せかけていたが、あらたなサイトでは、「Chrome」のアップデートを偽装していた。

ダウンロードさせられるAPKファイル名も「facebook.apk」から「chrome.apk」に変更されており、正規アプリをリパックしたものだったという。インストールすると、SMSなどの情報へアクセスし、情報を盗み出す機能を備えていると見られる。

（Security NEXT - 2018/04/02 ）ツイート