Windows マルウェアが Android アプリケーションに
進出している理由とは?

2017.03.29

Palo Alto Networks の研究者は、Google Play にある 132 個の Android アプリケーション(リンク先:英語)のローカル HTML ページに悪意のあるドメインにリンクしている隠し IFrame が埋め込まれていることを発見しました。興味深いのは、Windows ベースのマルウェアが使用されていることです。

研究者は、開発者が不注意で、同じ悪意のあるコードを利用してしまったと報告しています。


(引用文日本語訳) 今回の調査では、感染しているこれらのアプリケーションの開発者はその責任を問われるべきではなく、むしろ犠牲者である可能性が高いことが分かりました。アプリケーションの開発者が使用している開発プラットフォームは、HTML ページを検索し、検索した HTML ページの最後に悪意のあるコンテンツを挿入するマルウェアに感染している可能性が高いと考えられます。この場合、開発者が知らないところで、感染した開発プラットフォームからモバイルマルウェアが作成されることになります。


しかし、SophosLabs の研究者は、今回の問題にはさらに多くの要因が絡んでいると考えています。


Android マルウェア(リンク先:英語)を専門とする SophosLabs の研究者 Rowland Yu は、Palo Alto のレポートをレビューし、SophosLabs でも同じマルウェアを検出しており Google に報告していたことを確認しました。今回の問題は、有毒な井戸から水を汲んでしまった無実の開発者の物語ではなく、これはある一人の開発者による意図的な攻撃ではないかと考えられます。


複数の開発者が関わっている可能性もありますが、関係するすべてが Nandarok という名前の開発者につながっています。


問題の詳細


Palo Alto は、感染したアプリケーションには、チーズケーキからガーデニングやコーヒーテーブルにいたるまでさまざまなデザインアイデアの素材が含まれていたと報告しています。これらのすべてのアプリケーションは、Android システムの WebView(リンク先:英語) を使用して、静的な HTML ページを表示しています。


(引用文日本語訳) 一見したところ、各ページは、ローカルに保存された画像をロードし、ハードコードされたテキストを表示すること以外には何もしません。しかし、実際の HTML コードを詳細に分析したところ、よく知られた悪意のあるドメインにリンクする隠し IFrame が存在していることが明らかになりました。調査を行った時点では、リンクされていたドメインはダウンしていましたが、Google Play の非常に多くのアプリケーションが感染しているという事実には注意が必要です。


また、感染したページの1つが、ページのロード時に、マルウェアが仕込まれた有害な Microsoft Windows 用実行ファイルのダウンロードおよびインストールも試みていることにも注意が必要です。デバイスでは Windows が稼働しておらず、この実行ファイルが実行されることがないため、このような開発を行っている理由について調査が必要でしょう。


SophosLabs の Yu は、この悪意のある iFrame ペイロードを発見しており、Troj/Fujif-Gen という ID で 2015 年に初めて公開しています。2 月 20 日に、この Android マルウェアは、App/Adload-H として検出されています。


ソフォスは、App/Adload-H を PUA (不要と思われるアプリケーション) と分類しています。アドウェアなどは必ずしも悪意のあるものとは限りませんが、通常は迷惑と見なされるアプリケーションです。


Nandarok の詳細について


App/Adload-H は、Nandarok という名前の開発者が作成した 数十ものアプリケーションの 1 つである(リンク先:英語)ことが分かりました。Yu は次のように述べています。


注意が必要なアプリケーションの 1 つが「女の子の電話番号」というものです。信じられないことに、10 万〜50 万のユーザーが本物の情報だと信じて、これらのアプリケーションをダウンロードしています。


Nandarok に関連するアプリケーションの例を以下に示します。



Yu は、検体は非常に小さく、実際には動作しないという Palo Alto の見解に同意していますが、Palo Alto の研究者の次の説明には同意していません。


(引用文日本語訳) 今回の調査では、感染しているこれらのアプリケーションの開発者はその責任を問われるべきではなく、むしろ犠牲者である可能性が高いことが分かりました。


恐らく、悪意を持たないユーザーが今回の問題を広げてしまったことは事実でしょう。しかし、これは Nandarok および Nandarok の仲間の開発者による意図的な行動が起点になっています。Yu は次のように述べています。


このマルウェアの検体は、同じ 1 人の開発者、もしくは Nandarok と関係がある少数の開発者が作成していると私は考えています。意図的に動作しない大量の検体がリリースされている可能性があります。Nandarok らは、フレームワークを使用してこれらのマルウェアを生成しており、開発の途中で感染した IFrame が誤ってこのフレームワークにロードされた可能性があります。


Google は、報告されているこれらのアプリケーションを排除しているようです。これらの不正なアプリケーションや新しい亜種が Google Play に現れた場合に適切に対処できるようにすることが、今後は重要となります。

引用元

おすすめの記事はこちら