佐川急便から不在通知がのSMSメッセージで来たら注意!詐欺・マルウェア攻撃の可能性

筆者の元に1通のSMSメッセージが届きました。「090-2965-8166」知らない番号ですが、内容は佐川急便から送られてきたもの。配達員からの通知かと思っていましたが実のところ、これは不正なアプリをインストールさせようという攻撃だったのです。

スポンサーリンク

佐川急便から送られてくるSMS不在通知

筆者の元に届いたメッセージはこのようなものでした。

SMSメッセージ

「お客様宛にお荷物のお届けに上がりましたが不在のため持ち帰りました。下記よりご確認ください」
「佐川急便株式会社<SGホールディングスグループ> sagawa-kk.com」

知らない番号からのものでしたが、配達員の携帯番号であれば知らなくても当然。荷物には自分の電話番号が記載されているため知っていることでしょう。「sagawa-kk.com」という表記に特に不信感は感じませんでした。

しかし佐川急便のURLは「www.sagawa.exp.co.jp」これは調べてみないとわかりません。SMSに記載されているリンクを開いてみるとこのようなページが表示されます。

偽の佐川急便サイト

佐川急便と思われるよく出来たサイトです。ひとつだけ異なるのは、荷物追跡番号を入力する欄が、「貨物追跡」というボタンになっていること。これは気づかないのではないでしょうか。この「貨物追跡」ボタンをクリックすると不正なアプリがインストールされる攻撃だったのです。

スポンサーリンク

佐川急便のSMS不在通知攻撃はどのようなものか

画面をタップすると「sagawa.apk」というアプリがダウンロードされます。これはAndroid用のアプリで「提供元不明のアプリ」をインストールできる設定変更をしないとインストールできないものですが、このアプリをインストールする手順までが案内されます。

インストール時には連絡先の読み取りやSMSの受信および読み取りなどの許可が要求されます。アプリの正体は「バックドア」型の不正アプリで、攻撃者が遠隔でAndroidスマートフォンの操作を実行できるようになります。

現在のところ具体的な攻撃は確認されていないようです。しかし攻撃者が遠隔でスマートフォンを操作できるため「スマホを使えないようにして身代金を要求する」「連絡先などのデータを盗む」「他の不正アプリをインストールする」などの攻撃が可能になります。

佐川急便の不在通知攻撃はiPhoneであれば今のところ問題なし

このようなSMSメッセージを受け取り、iPhoneで攻撃用のサイトにアクセスしても何も起きません。またiPhoneは基本的に提供元不明のアプリはインストールできないため、この攻撃を受けることは今のところありません。

もし自分がAndroid端末で、アプリをインストールしてしまったらどうしたら良いか。まず偽の佐川急便サイトからインストールしたアプリを削除する必要があります。それに加えて「ウィルスバスターモバイル」の体験版をインストールしてウィルス検索を実行すると良いと思われます。

ウィルスバスターの提供元トレンドマイクロはこの攻撃を確認しており、この不正アプリを「AndroidOS_Wroba.U」として検出するようになっています。

今回の攻撃は1月から確認されていますが、今になってその規模を拡大させているようです。今回の攻撃はかなり巧妙です。筆者の場合は「不在票が入っていない」ことで攻撃だと気づきました。少しでも違和感を感じたらリンクにはアクセスしないなどの注意が必要です。

参考URL:Internet Watch