Android を襲ったマルウェアの暑い夏

2017.09.07

この記事を公開できるように尽力してきた SophosLabs の Chen YuRowland Yu 、および William Lee に感謝します。

この夏、Google にとって良いことも悪いこともありました。

良いニュースは、Google は自社のオペレーティングシステムの Android 8.0 となる Android Oreo(リンク先:英語) を正式にリリースしたことです。このバージョンでは、バッテリー寿命とセキュリティが向上しています。先月には、Android デバイスやそのデータにとって有害となる恐れのあるアプリをスキャンできる新機能 Google Play プロテクトもリリースされました。

悪いニュースもありました。スパイウェア、バンキングボット、悪質なアドウェアなど、8 月には Google Play で少なくとも 5 種類のマルウェアが見つかりました。数千ものアプリにこれらの悪意あるペイロードが追加されており、何百万人ものユーザーが感染しました。

昨日、Google は Google Play ストアから 500 以上のアプリを削除する必要があった(リンク先:英語)ことを報告しました。これらのアプリは合計で 1 億回以上もダウンロードされています。これらのアプリ自体は悪意のあるものではありませんが、すべて Igexin と呼ばれるソフトウェア開発キット (SDK) が使用されていました。Igexin には、「悪意のあるプラグインをダウンロードすることで正規のアプリからユーザーのアクティビティを偵察する機能」があります。広告用 SDK を使用すると、アプリの開発者が広告用のネットワークを利用してユーザーに広告を簡単に配信できるようになります。


SophosLabs の研究者は、Android デバイスに別の脅威があることも見つけました。


バンキングボット

SophosLabs は、バンキングボットになっている 20 種類のアプリを Google Play で見つけました。これらのアプリはすべて Andr/Banker-GUB として検出されます。Google Play のダウンロード情報では、次の 2 つのバージョンが記録されています。



 

この系統のマルウェアは、リバースエンジニアリングを困難にするため、難読化とパッカーの手法を悪用します。



OkHttp(リンク先:英語) と呼ばれる強力なフレームワークを使用して、Web サイトのデータと情報を交換します。このフレームワークは、複数の IP アドレスを使用してシステムをナビゲートする高度な手法を使用します。



第 2 のバンキングボットは、数日前に検出されたばかりであり(リンク先:英語)、リモートの Web サイトから APK を秘密裏にダウンロードします。偽のクレジットポイントを使用して APK をインストールするようにユーザーを誘導し、Google Firebase Messaging Service を利用して、偽の「セキュリティアップデートの支払い」情報を表示します。









GhostClicker

また、GhostClicker というアドウェアも研究者によって検出されました。これは、Google Play サービスライブラリや Facebook 広告ライブラリの一部のように偽装するアドウェアです。このアドウェアは、自身を「logs」という名前のパッケージとしてこれらのライブラリに追加します。いくつかの亜種はデバイスの管理者権限を要求し、クリック広告をシミュレートして、広告収入を獲得します。



その他の亜種は比較的保守的なものであり、BroadCastReceiver として自身を登録して、広告をポップアップ表示します。





ソフォスは、この自動クリックによって広告収入を得る亜種を Andr/Clicker-HO として、その他の亜種を Android Adload として検出しています。



対策

悪意がある Android アプリやセキュリティが侵害されている Android アプリが次から次へと発生しています。ソフォスが無料で提供している Sophos Mobile Security for Android をぜひご利用ください。Google Play にあるアプリであっても、悪意のあるアプリや不要なアプリのインストールをブロックすることができれば、多くの問題から解放されます。

全体として見れば、一般的な Android ユーザーは、マルウェアが自分のデバイスにアクセスするためにどのような手法が使われているかを把握しないかもしれませんが、注意してアプリを選択することで、マルウェアの侵入を防止し、Android 環境を安全に維持できます。一般的に役立つアドバイスを以下に記載します。

  • ・Android Oreo を入手してください。
    Google にとっては大変な夏でしたが、新しい OS ではセキュリティ機能の改善が図られており、マルウェアのデバイスへの侵入を効果的に防止できるようなっています。


  • ・Google Play からのみアプリケーションを入手しましょう。
    これで完全にセキュリティ上の脅威がなくなるわけではありませんが(リンク先:英語)、Google は、マルウェアが Google Play に入り込むこと防止しており、入り込んだ場合には駆除することに多大な労力を払っています。対照的に、Google Play 以外の多くのマーケットでは、アプリケーションの開発者が、あらゆるアプリケーションをほぼ自由にアップロードできるようになっています。


  • ・評判の悪いアプリケーションを利用することは避けましょう。
    誰も使用していない新しいアプリは、業務用のスマートフォンにはインストールしないようにしましょう。何かの問題が生じると、IT 部門がその対策に膨大な労力を費やすことになります。


  • ・パッチは迅速かつ確実に適用しましょう。 新しいスマートフォンを購入したら、ベンダーによるアップデートの状況とパッチのリリース頻度を確認してください。高性能な内蔵カメラや解像度の高い画面などの高度なハードウェアと一緒に、あるいはこれらを求める前に、迅速で効果的なパッチ適用環境(リンク先:英語) を必要な機能の一覧に加えるようにしましょう。


引用元

おすすめの記事はこちら