画像提供:マイナビニュース

写真拡大

Sucuriは11月13日(米国時間)、「Malicious Android Application Used in Phishing Scam」において、フィッシング詐欺キャンペーンにAndroidアプリが使われていることが確認されたと伝えた。同社はこれまで多くのフィッシング詐欺を紹介しているが、こうした詐欺でモバイルアプリが使われることはほとんどなかったと説明。

Sucuriの修復チームのリーダーは、個人的な見解と前置きしつつ、フィッシング詐欺キャンペーンに今回発表したようなモバイルアプリが使われているのを見たのは初めてと述べている。

このモバイルアプリは「IMobile-VERIFY」という名称で呼ばれており、インストールされるとSMSメッセージの内容を傍受するという。銀行はインターネットを介して取引を行う際、SMSを使ってユーザーであるかどうかの検証を行う。「IMobile-VERIFY」を使われると銀行情報が攻撃者に窃取される危険性がある。

今回発見されたマルウェア・アプリはインドの所得税に関係したフィッシング詐欺サイトで配布されており、インストールしてSMSなどへのアクセスを許可してしまった場合は銀行口座の詳細を攻撃者に奪われる危険性があるとされている。攻撃者は簡単に送金などが行えるため注意が必要。Sucuriは該当するアプリをインストールしている場合は、迅速にアンインストールすることを推奨している。