写真をもっていくRoaming MantisとWroba

Roaming Mantisは以前から観測されているマルウェアです。
2018年にはすでに観測されていて、長い期間にわたって機能拡張しながら活動を続けています。

機能はどんどん拡張されてきていますが、流れは以前から変わっていません。

• SMSでスマホにメッセージを入れる
• SMSのなかにURLを含める
• URLをタップすると不正なコンテンツのあるサイトにつながる
• タップした端末によって動作を変える
  Androidの場合、不正なマルウェアのインストールを促すページにたどり着きます。
  Roaming Mantisのターゲットは以前はAndroidのみでしたが、iOSデバイスもそのターゲットに追加されています。

SMSで送られてくるメッセージは、宅配便の配達に関する連絡だったりします。
そこにあるURLをタップするといかにも宅配便業者のアプリのように見えるものをインストールさせる流れになります。

Roaming Mantisは長い期間拡張されてきているもののためいろいろなバリエーションがあり、Wrobaと呼ばれるトロイの木馬を使うものがあります。
Wrobaはいわゆるバンキング型マルウェアです。
多くの機能を有し、あの手この手でアカウント情報の持ち出しを試みます。
このアカウント情報取得機能に新しい機能が追加されています。
get_galleryコマンドとget_photoコマンドです。
これらのコマンドは、その名前の示す通りAndroid端末上に入っている写真を持っていきます。

私たちはいろいろなサイトで申し込みを行うことがあります。
申し込みを行う際に名前などを入力したりします。
そしてサイトの内容によっては、本人認証のためになんらかの確かな書類の写真を要求するものもあります。
運転免許証やパスポートなどです。
こういった申し込みサイトを使った端末には、その後その本人認証ができる写真が残された状態になります。
こういった写真があった場合にこのマルウェアがそれを持っていってしまうのです。

名前や住所などの個人情報に加えてこういった本人認証に使用できるデータを盗まれるとどうなってしまうでしょう。
非常に怖いことです。
いわゆる正しい運用活動というものの中には、パッチの継続的な適用などが含まれるわけですが、そういった従来の正しい運用の中に、不用意に重要情報を端末内に残さないようにするという活動も加えないといけないのかもしれません。

参考記事（外部リンク）：Roaming Mantis Android malware campaign sets sights on
Europe
www.bleepingcomputer.com/news/security/roaming-mantis-android-malware-campaign-sets-sights-on-europe/