宅配便偽不在通知について調べてみた

宅配便偽不在通知について調べてみた

「ご本人様不在の為…」っていう有名なショートメールが届いたので、それについて調べてみたいと思います。

他の人が試したことのない、いいネタが見つからないので…(泣)
ちなみにこれで2回目です笑

あくまで筆者の少ない知識での考察なので、正しいとは限りません。
(むしろほとんどの予想が外れていたりするかも…)

悪評の電話番号

まずは送信元の電話番号についてググってみます。
流石に電話番号を載せるのはヤバそうな気がするので伏せます。

こんな口コミがありました

お客様の電話が繋がらない為ご指定のところに置きました。ご確認下さい。

というメッセージがきました。
着信はなく、荷物の配送も頼んでいませんでしたし、配送会社の名前もなかったため、迷惑メールと判断。
試しにURLをクリックしたところ、ファイルをダウンロードしますか?と表示されました。

その他類似のコメントが4件もあり、中には銀行の偽案内もあったようです。
一番古いコメントが2020年の10月だったので、結構最近から変な活動を始めたようです。

090-235*-****という電話番号だったので、キャリアはドコモだと推測できます。

 

プライバシー重視のドメイン

ドメインは「**.duckdns.org」でした(一回目に送られてきたときとほぼ同じドメインです)
数日後にもう一度開いてみるとドメインが消滅してました

duckdnsは無料のダイナミックDNSで、それ自体は全然悪いものではなく、むしろ多くのユーザーのために稼働している善良サービスです。
(DNSはドメイン[今回なら**.duckdns.org]をIPアドレス[サーバーの住所]に変換するシステムです)

類似のサービスはたくさんあるのですが、一体なぜduckdnsにしたのでしょうか?

では犯罪者の目線で考えてみます
犯罪者は捕まらないようにできるだけ証拠を残さないようにするでしょう
つまり、身元が特定しにくいようなサービス≒プライバシー重視のサービスを踏み台にすると考えられます

duckdns公式サイトのFAQには以下の文章がありました

Q: どんなデータを保持するの?
A: 簡単な回答:できるだけ少ないです。保持するのは電子メールアドレス、IP、トークン、ドメイン、そしてもちろんターゲットIPのみです(一部省略)

https://www.duckdns.org/faqs.jsp

比較的保存されるデータは少ないようです。

サーバーのIPアドレスとメールアドレスさえわからないようにしてしまえば居場所が突き止めにくくなります(メールアドレスは捨てメアドを使えばわからない)

台湾のIPアドレス

ドメインを正引きしたらIPアドレスがわかりました(当然です)
どうでもいいですがIPv6には対応していません

https://www.ip2location.com/でIPアドレスについて調べてみました

台湾
ISPChunghwa Telecom Co. Ltd.

サーバーは台湾にあるようです
これ以上はもうわからないです

以前と違う手口

ではページを開いてみます
今回は調査で開いていますがあまり開かないほうがいいと思います(人のこと言えないですけど)

PCで開くと「NOT FOUND」と表示され、ステータスコードも404が返ってきています。
PCでは存在していないように見せかけて調査を断念させる魂胆でしょうか?

ですがPCでもスマホの画面をエミュレートすれば簡単に開けます

開いてみると以下のようなアラートが表示されました。

偽佐川急便の件と違って、受け取りのためのアプリをインストールさせるのではなく、「ソフトウェアの更新」という人間なら誰もがしてしまう操作を逆手にとった手口でしょうか?
偽佐川急便のショートメールが有名になり、サイトに対して警戒しているユーザーが多いということもあり、手口を変えたのでしょうか…

ウイルスだらけのAPK

ページを開くとapkファイル(androidのアプリパッケージ)がダウンロードされます
これを有名なウイルスチェックサイトVirusTotalに通してみましょう

はい
もうなんと言うか、呆れますね笑

複数のアンチウイルスソフトがウイルス判定を出しているのでウイルスに間違いなさそうですね。

所々でTrojan BankerやSpyBankerという文字が見られますが、このアプリはモバイル決済などのアカウント情報を盗むアプリのようです。
したがって、もしこのアプリを開いてしまった場合はお金に関するアカウントのパスワードを変えるべきだと思われます。

権限に飢えるアプリ

変なことをしようと思っても権限なしではほとんど何もできません。

Android6.0以降では危険な権限を要する場合、ユーザーの同意が必要となっています。
(私が前に作ったWifi接続マネージャーでも、位置情報に関するアクセスの同意を求めています)

よって、開くだけではひどい悪さをしないと考えられますが、逆の思考だとユーザーが許可をしてしまえば多くのことができてしまいます。
(ユーザーが直接許可しなくてもアクセスできるものはあるので、開くだけなら大丈夫というわけではないと思います)

で、実際にどんな権限を要求するのか調べてみました。
(あまりにも多いため[合計27個]dangerousな権限のみ載せます)
(新しめのAndroidAPIでは廃止されている権限もあります)

CALL_PHONEアプリが動けば勝手に電話をかけられるようにする
WRITE_EXTERNAL_STORAGE
READ_EXTERNAL_STORAGE
ストレージを読み書きできるようにする
READ_PHONE_STATE電話番号などを取得できるようにする
RECEIVE_SMS
READ_SMS
ショートメール(SMS)を読み取れるようにする
WRITE_SMSSMSを編集できるようにする(?)
SEND_SMSSMSを送信できるようにする
READ_CONTACTS電話帳を読み取れるようにする
SYSTEM_ALERT_WINDOW他のアプリの上のオーバーレイ表示をできるようにする
READ_PROFILEユーザープロファイルへアクセスできるようにする(?)

主に電話に関する権限をクレクレしているように思えます。
他の人の電話番号も収集し、ショートメールを送信して感染を広げようとしているのでしょうか?
また、ストレージに関する権限も求めているため、ファイルを読み取って送信するつもりなのでしょうか?(インターネットはユーザーの許可無しで利用できます)

そういえば国際電話って料金めっちゃかかりますよね
かけまくって高額な料金を請求しようともしているのでしょうか?

インストールしてみる

実際どうかはこの目で見てみないとわからないので、インストールしてみましょう!!(百聞は一見にしかず)

もちろんですがメインで使ってるスマホにインストールするとえらいことになりそうですので、空っぽのエミュレーターにインストールしてみます。
KVMのAndroidx86を使って試してみます。

と思ってインストールしてみたのですが…
起動しても一瞬でクラッシュしてしまいます(もしかしたら偽のダイアログなのかもしれませんが…)
デバッグする勇気も無いので挙動の確認はこれぐらいにしておきます

ちなみにアイコンとアプリ名はChromeと全く同じでした

まとめ

今回の雑な調査で以下の特徴?が見つかりました

  • ショートメールは日本から送られることもある
  • リンクを開いたら必ずと言っていいほどapkファイルをダウンロードさせようとする
  • やけに権限を要求する(特に電話系)
  • 見た目は本物とほぼ同じ
  • でも動作はおかしい

androidスマホを対象とした他のウイルスもapkをダウンロードさせようとすることが多いので、apkファイルのダウンロードが要求されたら要注意です(google playに公開する場合は審査があるので、それを避けるために直接ダウンロードさせようとしている?)

権限をたくさん要求しているときも注意です
アプリを入れるときは権限を確認しておいたほうがよいでしょう(今回はchromeなのにショートメールの送受信を要求してきたので、明らかにおかしいです)