sagawa.apkとfacebook.apkの怪しい関係|セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ

 コース:こってり

sagawa.apkとfacebook.apkの怪しい関係

ν (ニュー)

最近話題のSMSを使って拡散する佐川急便の偽アプリこと、sagawa.apkについての話です。
以下の記事を読んでおくと騒動の背景を理解する助けになると思います。

荷物の不在通知を装ったSMSに注意! 端末の情報を盗み、遠隔操作も可能な偽の佐川急便アプリ「sagawa.apk」ダウンロード促す
https://internet.watch.impress.co.jp/docs/news/1101190.html

「スパムボット」化した不正アプリにより、7 月に偽装 SMS 拡散が急拡大
https://blog.trendmicro.co.jp/archives/19364

似たような話があったような・・・?

以前にも、Googleアカウントの情報を窃取するために偽アプリが出たことがありました。
自称「Facebook拡張ツールバッグ」こと、facebook.apkです。

ルーターの設定書き換え、不正アプリに感染させる攻撃 被害相次ぐ
http://www.itmedia.co.jp/news/articles/1803/30/news106.html

ルーターのDNS改竄によりダウンロードされる「facebook.apk」の内部構造を読み解く
https://blog.kaspersky.co.jp/malicious-facebook-apk/19968/

以下に、facebook.apkとsagawa.apkの簡単な比較表を載せておきます。

  facebook.apk sagawa.apk
対象 Facebook 佐川急便
アプリへの誘導方法 ルータのDNS設定の改ざん SMSに記載のURL
他者への拡散 なし あり(SMS利用)

何らかの方法で偽アプリをインストールさせ、スマホ内で悪意のある動作をするという点で共通しています。
では、この2つのアプリには何らかの関係があるのでしょうか。

調べてみた

2つのアプリは複数の種類が確認されているため、以下に調査に使用したファイルの情報を示します。

  SHA-256ハッシュ 入手元
facebook.apk 6F20F227F79DEBFDAE32233B59F4DC15C7FAF05036B21E8CD46B24EBC52F0BF8 VirusTotal
sagawa.apk ACF95A12482D21032353F9141355B8C5BDF4C1D328ADD239F77E6FB06D4B50FE sagawa-nb[.]com

アプリの署名情報

まずは、アプリの署名に使用されている証明書の発行者(issuer)と主体者(subject)の情報を見てみます。

facebook.apkの証明書:

subject=/C=US/ST=wgrotjcgu/L=syxdtboctk/O=lmljdhggb/OU=ouxiozhgzq/CN=jppyzsssn
issuer=/C=US/ST=wgrotjcgu/L=syxdtboctk/O=lmljdhggb/OU=ouxiozhgzq/CN=jppyzsssn

sagawa.apkの証明書:

subject=/C=US/ST=SH/L=SH/O=qmzyrf/OU=opwptbv/CN=iqxy
issuer=/C=US/ST=SH/L=SH/O=qmzyrf/OU=opwptbv/CN=iqxy

2つとも、国を表すC=以外のフィールドのほとんどがキーボードを適当に叩いて入力したと思われるものになっています。

ローダー部分

2つのアプリはともに内部にアセットとして持っているクラスデータを動的に読み込んで実行するためのローダーが内蔵されています。
そのローダー部分のクラスの一覧を比較したものが以下になります。

クラス一覧(facebook.apk)

クラス一覧(sagawa.apk)

こちらも、キーボードを適当に叩いて入力したと思われる文字がクラス名の先頭に付いている点が共通しています。
また MyApplicationMyWebActivityなどの名前も共通しています。

次に、ローダーのコードが含まれている~MyApplicationのコードを見てみます。

ローダーのコード(facebook.apk)

ローダーのコード(sagawa.apk)

最初の一時ファイル名を生成する部分が異なりますが、他はほぼ同一です。

ロードされるコード

次に、ローダーによってロードされるコードのパッケージ一覧を見てみます。

パッケージ一覧(facebook.apk)

パッケージ一覧(sagawa.apk)

ProGuardのようなツールによるリネームのようにも見えますが、名前が一致しています。

facebook.apkで確認されている、以下のコードがsagawa.apkにも含まれています
(同一のコードのため、sagawa.apk上のコードのみ掲載します)

謎の英文

韓国向けのアプリのパッケージ名

「Googleアカウント危険、認証完了後使用してください」というメッセージ

※facebook.apkと比べるとsagawa.apkでは対応言語が増えています。

まとめ

以上の情報から、facebook.apkとsagawa.apkはコードが似ており亜種ではないかと疑っています。

偽アプリを使った攻撃はAndroidを使用している人には効果的であると考えられるため、偽アプリの流行等の情報には注意を払うことが必要です。
また、不審なアプリはインストールしないといったことも重要です。

メルマガ読者募集 セキュリティを学ぶ

月別