サイバーセキュリティ企業のカスペルスキーは、Androidデバイスに感染してデバイス情報を窃取するマルウェアに、新たな機能が追加され、ルーターのDNS設定を改ざんすることを発見。これにより、マルウェアに感染したAndroidデバイスがWi-Fiルーターに接続すると、ルーターのDNS設定を改ざんし、そのルーターに接続したほかのAndroidデバイスにもマルウェアに感染させることが可能になると報告しています。
これは、2018年からサイバー攻撃活動に利用されてきた「Wroba(ローバ)」というマルウェアで、これまでは主にSMSによるフィッシングにより、Android用の悪質なAPKファイル(アプリのパッケージファイル)をインストールさせようといるサイトへ誘導。インストールしたデバイスがWrobaなどに感染し、情報の窃取を行っていました。
それが2022年9月に、このWrobaの亜種であるWroba.oに、DNS改ざん機能が実装されていることを発見。これにより、Wroba.oに感染したデバイスが、たとえば自宅だけでなく会社や公共のWi-Fiルーターに接続するだけで、DNS設定が改ざんされ、そのWi-Fiルーターへ接続した別のデバイスが、意図せず悪意のあるサーバーへ誘導され、被害にあう可能性が出てくるというものです。
ただ、改ざんされる可能性のあるルーターは脆弱な特定のもので、主に韓国国内で利用されているルーターが標的になっているようです。しかし2022年12月前半時点の調査で、この悪質なAPKファイルのダウンロード数は、韓国では508回なのに対し、日本は2万4645回と断トツ1位となっています。日本では、今回のDNS改ざんではなくSMSによるフィッシングなため、もし日本もDNS改ざんの標的になったら、より被害が拡大する可能性もあります。
この問題は、デバイス側にセキュリティ対策がされていれば被害に合わずにすむのはもちろんですが、それよりもWi-Fiルーターを初期設定のまま安易に設置して開放している管理者側の意識を高めないと、下手すれば加害者側になってしまう危険性があることを意味しています。インターネットを利用するデバイスは、万全なセキュリティ対策を施し、しっかり管理することが、被害者にも加害者にもならない最適な手段です。
