マルウェアが隠されている Google Play アプリ「Parrot Copter」と「Viking Jump」

2016.05.20

この記事を公開できるように尽力してきた SophosLabs の Anna Szalay に感謝します。

Check Point のセキュリティ調査チームは先日、Viking Horde と呼ばれる Android マルウェアファミリに関するブログ記事を公開しました。

Viking Horde という名前の由来は Viking Jump というゲームです。


このゲームは一見すると「ヨーロッパ人が入植する前のアメリカ大陸が舞台の、Dark Ages のカブトを被り剣を携えた Flappy Bird」のようであるため、面白そうに見えます。

しかし、実際はプレイする価値もなく、アプリという体裁を整えただけのものです。

しかし、Check Point の調査でタイムワープした飛び跳ねる北欧戦士の裏にマルウェアが隠されていることが明らかになったものの、調査開始の時点で Viking Jump はすでに 50,000 ダウンロードを達成していました。


このアプリは、追加の実行可能なコードをダウンロードする機能、ユーザーがアプリをアンインストールしようとするとマルウェアを再び有効化する機能、Web プロキシ (Web インターセプター) を有効にして閲覧履歴を追跡したり閲覧先を変更したりする機能など、さまざまなマルウェアコンポーネントを運ぶ手段として用いられています。

遠隔操作が可能な Web プロキシを隠しておけば、監視やデータ窃盗から広告クリック詐欺まで、さまざまな不正行為に悪用することができます。

Viking Jump の内容

Viking Jump をデコンパイルすると、たとえば Stephen Erickson (Stericson) 氏が開発した RootShell コンポーネントなど、追加されているコードモジュールの中にはセキュリティ研究者の興味をそそるものがあります。

Stericson 氏は Android エコシステムで著名な開発者です。おそらく最もよく知られているのは、数多くの便利な Unix コマンドラインツールを携帯電話で使用できるようにした Busybox ポートでしょう。

開発者や Android ハッカーは Stericson という名前をよく知っているかもしれません。しかし、Android の熱烈な支持者にとってどれだけ便利であろうとも、Viking Jump というゲームの中に RootShell があるとは思いもしなかったはずです。


しかし、これだけの危険信号が出されていても、Viking Jump や同じような悪意のあるコンテンツを含んだ無数のアプリがセキュリティ検証をすり抜けて、Google Play Store でダウンロード可能になっています。


Viking Jump 以外の悪意のあるアプリには、洗練されたデザインの Parrot Copter (ソフォスでの検証は未済み)、Wi-Fi 強度測定ツールを自称するアプリ、携帯電話の RAM を最適化すると謳っている Memory Booster などがあります。

ユーザーにとっては幸運なことに上記アプリは出来が悪く、平均ダウンロード数は 1,000〜5,000 に留まっています。なお、Parrot Copter のユーザー数は Google Play カテゴリの中で最低の 1〜5 人にすぎません。


Google Play から不正アプリをなくすには

アプリの人気の有無は関係なく、そもそもマルウェアが Google Play に入り込んでいることが問題です。

Check Point は先週 (2016 年 5 月 5 日) Google に対し不正なファイルを報告しましたが、SophosLabs では Viking Jump が昨日 (2016 年 5 月 10 日) の時点でもダウンロード可能な状態になっていることを確認しています。


インストール件数を考えれば最も信頼性の高いアプリであったことは皮肉としか言えません。

そこでソフォスは、Check Point が記事を発表した後の Google の対応の遅さに驚いた他の研究者と共に、報告することにしました。

その後、Viking Jump は削除されました。


Viking Jump は、完成品のようには見えないことから、また不審なコンポーネントがいくつか追加されているものの一度も呼び出されていないことから、サイバー詐欺師の目的はマルウェア感染ではなく、検証プロセスにあったと考えられます。


サイバー詐欺師は Google Play Store を出し抜く方法を学習するプロセスの一環として、どのようにコーディングすれば検出されずに Google の検証をすり抜けることができるのかをテストしている可能性があります。


対策

Google Play のセキュリティ対策が不十分であることは明らかですが、今後も使用し続けることをソフォスは強く推奨します。

たとえ Google Play にマルウェアが含まれていることがあったとしても、公式サイト以外のダウンロードサイト (中には調査も検証も検閲もしていないことを自慢しているサイトもあります) に比べれば、その数はわずかです。


Android アプリに関してソフォスが提供するセキュリティヒントは、次の 3 つです。

  • パッチが公開されたら直ちにデバイスに適用します。 (残念なことに、ほとんどあるいは全くパッチが適用されないデバイスが存在します。)
  • Sophos Free Antivirus and Security などの製品を使用して、マルウェア、不正な Web サイト、アドウェア、および不要なアプリを監視します。
  • 可能であれば、Android セキュリティ設定で [不明なソースからのアプリのインストールを許可する] をオフにします

また、ダウンロードしたいが安全かどうか判断できないアプリは、ダウンロードしないでください。

引用元

おすすめの記事はこちら