スマホの通話料金が高額になる

スミッシング（smishing）というものがあります。
スマホのSMSを足回りに使ったフィッシングです。
スマホのSMSでメッセージがくるのですが、パソコンのブラウザと違ってそのリンクがなにものなのかわかりにくかったりします。
短縮URLだったりURLの左端部分しか表示されていなかったりして、どこにリンクされているのかわからなかったりします。
そういうリンクをクリックしてしまうとよくないことが起こります。
そこから始まる残念なことの一つがスミッシングです。

今回確認されているのは、偽の「Chromeの更新をしてください」というメッセージです。
これをクリックすると、マルウェアに感染します。
まずは1ドル等の少額を支払うように促し、これによって巧妙にクレジットカードの情報を入力させます。

残念な活動はまだ続きます。
感染端末のSMS機能を使って、毎日300件の横展開を試みます。
攻撃者の懐を全く痛めることなく、横展開は大規模に展開されていきます。
さながらねずみ講のようです。
大規模に展開するとそのうちセキュリティ対策ソフトで検出されるようになってきます。
そうすると、攻撃者は同じマルウェアを再パッケージしなおして再度野に放ちます。
再パッケージ化によりバイナリのハッシュは変化しますので、またしばらくこのマルウェアで展開できます。
攻撃者は少しの手間をかけるだけで、大規模なマルウェア活動が展開できるのです。

感染者のほうはどうでしょう。
毎日300のSMSを勝手に自分のスマホから送信され続けます。
もしそのまま1か月気が付かなかったとしたらどうでしょう。
単純計算で1か月では9000件のSMSが送信されることになります。
契約の形態によりますが、SMS送信が無制限でなく従量制だった場合、残念なことになります。
9000件×SMS送信費用＝残念な金額、です。
この請求が来て、はじめてよくないことが起こっていることに気が付く、という人も多いのではないかと思います。

この事例の個別の要素は技術的に考えると新しいものではありません。
これまで確認されている技術を利用しているだけと言えそうです。
しかし、犯罪全体の構造を考える場合、実にうまく組み立てているといえそうです。

サイバー犯罪が成熟してきているということなのかもしれません。

参考記事（外部リンク）：Fake Chrome App Anchors Rapidly Worming ‘Smish’
Cyberattack
threatpost.com/fake-chrome-app-worming-smish-cyberattack/166038/