佐川急便を装ったメールとマルウェアの配布サイト
本日(2019/04/09(火))、佐川急便を装った怪しいメールをSMSで着信しました。
SMSは、電話番号から電話番号宛に送ることができるショートメッセージサービスです。
適当な電話番号宛に、手当たり次第に送っている可能性があります。
本文の内容は次の通りでした。(一部を「*」でマスクしています。)
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。http://*************:81
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
このURLのリンクにアクセスすると、次のようなサイトが表示されました。
見た目は佐川急便を装っており、設定マニュアルを装ってダウンロードされたアプリをインストールさせようとする内容となっています。
このURLで明らかに怪しいのは、「:81」が付いている点です。
通常、Webサイトにアクセスする際は、「:81」のようなものは入力する必要がないです。
普段は、http(80番ポート)やhttps(443番ポート)にアクセスしており、「:80」や「:443」と付ける必要はありません。
また、URL(ドメイン名)をwhoisで調査すると、次のとおりでした。
Updated Date: 2019-04-08T03:22:35Z
Creation Date: 2019-04-08T03:06:40Z
Registrar: Xin Net Technology Corporation
昨日(2019/04/08(月))、このドメイン名をXin Net Technology Corporationという中国のレジストラから取得していることがわかります。
IPアドレスは、Krypt Technologiesという米国のホスティングサーバーのようです。
また、このIPアドレスは、このURLにしか紐づいていないようです。
ダウンロードされたファイルは、次のファイルでした。
ファイル名:sagawa.apk
ハッシュ値(SHA1): a2fff38afe668673649525510b5a617aceee7a03
拡張子が「.apk」のファイルは、Android OSのアプリであること、設定マニュアルでもAndroid端末での設定方法になっていますので、Android端末を狙った攻撃となっています。
このハッシュ値(ファイルの指紋のようなもの)で、マルウェアの情報を検索できるサイトであるvirustotalで検索すると、2019/04/09 19:14:37(日本時間)にvirustotalにアップロードされて分析されたのがわかります。
なお、この時点では、ウイルス対策(検索)ソフト60本のうち、23本で検出しています。
virustotalで検索した結果はこちら。
メールのようなリンクがあった場合は、絶対にクリックしないようにしてください。