数千種類の存在が確認されている Android 用スパイウェア SonicSpy

2017.08.31

本記事の執筆には SophosLabs の Chen YuRowland Yu Ferenc László Nagy の協力を得ました。


Android ユーザーは新たな脅威に警戒する必要があります。それは、感染したデバイスからデータを盗み出すスパイウェアアプリです。このスパイウェアのいくつかのサンプルが Google Play に掲載されていましたが、大部分はインターネット上のソースからダウンロードされるものです。


SophosLabs などの研究者ら(リンク先:英語)によって、Soniac、Hulk Messenger、Troy Chat という SonicSpy 系の 3 つのアプリが Google Play で発見されています。これらのメッセージングアプリはスパイ機能を搭載しており、C&C サーバーからの命令を待ちます。


発見された上記のアプリは、その後 Google によって削除されています。SophosLabs の Chen Yu は、Google Play バージョンのアプリは「インストールされた件数はごくわずかで、掲載されていた期間も非常に短かった」と述べています。Google Play で発見されたアプリは 3 つでしたが、SophosLabs の調査によれば実環境に 3,240 件の SonicSpy アプリが存在しています。なお、別の調査は 4000 件(リンク先:英語)だとしています。


複数の報道によると、イラクを拠点にしていると思われる 1 人の攻撃者が、2 月以降これらのアプリを実環境にリリースしているようです。


SonicSpy 系アプリの仕組み


SonicSpy 系アプリは、次のような共通の機能を有しています。


  • ・ユーザーに気付かれずに音声を記録する

  • ・感染したデバイスのカメラで写真を撮影する

  • ・通話を発信する

  • ・攻撃者が選択した電話番号にテキストメッセージを送信する

  • ・連絡先、Wi-Fi ホットスポット、通話履歴からデータを収集する

SonicSpy は感染したデバイス上で自身の起動アイコンを削除して隠れます。その後、arshad93.ddns[.]net のポート 2222 で C&C サーバーに接続する、と SonicSpy を最初に報告した Lookout の研究者 Michael Flossman 氏は述べています。


対策


ソフォスのお客様は、Andr/HiddenAp-WAndr/Axent-CYAndr/FakeApp-BK、および Andr/Xgen-Y として検出される SonicSpy アプリから保護されています。


悪意のある Android アプリによる攻撃は続いており、無料の Sophos Mobile Security for Android などの Android ウイルス対策ソフトウェアを使用する必要があります。


たとえ Google Play に掲載されているものであっても、悪意のあるアプリや不要なアプリはインストールしないようにブロックすることで、多くの問題を回避できます。


大局的に見ると、平均的な Android ユーザーは、マルウェアがどのような方法で自分のデバイスに侵入するのかは分からなくても、アプリによる侵入は阻止することができます。そのための一般的なアドバイスは次のとおりです。


  • ・アプリケーションの入手先は Google Play に限定してください。これでセキュリティ上の脅威が完全に無くなるわけではありませんが、Google はマルウェアが Google Play に入り込まないよう、また、入り込んだ場合には駆除するようさまざまな工夫をこらしています。
    一方、Google Play 以外の多くのマーケットでは、アプリケーション開発者があらゆるアプリケーションをほぼ自由にアップロードできるようになっています。

  • ・評価の低いアプリケーションは利用しないでください。誰も使用していない新しいアプリは、業務用のスマートフォンにはインストールしないでください。何か問題が生じた場合、IT 部門が対応に膨大な労力を費やすことになります。

  • ・パッチは迅速かつ確実に適用してください。新しいスマートフォンを購入したら、ベンダーによるアップデートの状況とパッチがリリースされるまでの速さを確認してください。高性能カメラや高精細画面などの最先端のハードウェアだけでなく、「より迅速で効果的なパッチの適用」を機能の要件に加えるようにしましょう。

引用元

おすすめの記事はこちら