Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

イビルツイン手法で狙われた Android アプリ: パート 2: スパムはどこまでも

Created: 11 Jul 2012 13:25:48 GMT • Translations available: English
Irfan Asrar's picture
+1 1 Vote
Login to vote

「マーケットスパム」という用語があります。今回が初耳という方でも、今後数カ月のうちには耳にすることになるはずです。これは新しい用語ではなく、1 つ2 つのアプリストアに影響するだけの問題ではありません。手っとり早く稼ぎをあげる目的で、スパマーがルールや審査プロセスをすり抜けるという、アプリストア全般に影響するシステム的な問題です。大部分のマーケットスパムは、できるだけ短時間で大量のユーザーの目を引き付けることに加え、長期間デバイス上にとどまることを目標にしています。用途を問わず、滞留時間が長ければ、悪質な開発者はエンドユーザーから利益を巻き上げられるようになるからです。ここで注意すべき重要な点は長期間の滞留ですが、その現れ方はさまざまで、1 つのアプリが長時間デバイス上にとどまる場合もあれば、思わせぶりなダウンロードを勧めることによってデバイス上に同じ開発元の複数のアプリを連続的に常駐させる場合もあります。複数アプリの場合の実質的な効果は、1 つのアプリが長期間とどまる場合と基本的に同じです。滞留時間が長くならないと、スパマーが大金を稼げるチャンスも短命で終わってしまいます。

長期間の滞留による効果を詳しく理解するために、2 つの開発者 ID で最近特定された 2 つの事例を見てみることにしましょう。どちらも、同じ時期(6 月 23 日か 24 日)に Google Play に公開されました。1 番目は以前からある「ウィンドウ破り型」のマルウェアで、プレミアム SMS を利用するトロイの木馬です。Android.Dropdialer として検出されます。2 番目は海賊版のエミュレータと ROM のセットで、いくつかの AdSDK と、上述した長期滞留を可能にする機能を持つトロイの木馬が仕込まれています。Android.Fakeapp として検出されます。
 


 

これは偶然ですが、どちらのアプリでもダウンロードの餌として同じ人気テーマが使われているので、従来型のマルウェアと新種の形態を比較する理想的なサンプルになっています。削除されるまでに、どちらのアプリもダウンロード件数は 50,000 から 100,000 の範囲に達しました。どちらが多くの金額を稼ぐ可能性があるのかを考えると、Android.Dropdialer のほうが明らかに有利のように見えますが、実質的な効果を考えると必ずしもそうとは言えません。インストールされた Android.Fakeapp は、同じスパマーから他のアプリをダウンロードする通知をプッシュするため、影響を受けるデバイスの数は、その瞬間から一変します。

Android.Fakeapp の背後にいる悪質なスパマーの過去の活動を見直すと、毎回新しい開発者 ID を使って同じアプリをプッシュしようとするのは、5 月なかば以降 5 回目の試みであり、ダウンロード件数は短い時間できわめて多数にのぼっています。Google Play ではすぐに公開が停止されたにもかかわらず、シマンテックの遠隔測定データによると、思わせぶりなダウンロードからの一定のフィード数が安定したユーザー数の累積につながり、長期的な効果が上がっていることがわかります。
 


 

Android.Fakeapp フレームワークの内訳は、次のようにまとめることができます。アプリコードの 70 % は複数の AdSDK の組み合わせに当てられています。各 AdSDK に同意条件があればそれを削除または無視するとともに、他のアプリのダウンロードとインストールを推奨する追加機能も伴います。それらのいずれかが、通知モジュールとして 10 % を使います。残りのうち 10 % のアプリコードは、ソーシャル向けにスパムを送信するモジュールであり、コアアプリ、つまりユーザーがインストールしようとする本体は、全コード構成のうち 10 % にすぎません。

 

 

シマンテックは、過去 1 年間に相当数の事例を追跡してきました。Android.Fakeapp もそのひとつですが、狙ったマーケットの審査プロセスで弱点を見つけようと開発者が試行錯誤を繰り返した結果、段階的な更新が行われた形跡があります。初期の検出メカニズムに引っかかることなく監視の網をくぐり抜けられたアプリが、公開に至っています。スパマーが成功を収めるための重要な鍵は、ベストプラクティスをできるだけ短時間で擬似フレームワークに変換することです。

Android.RootcagerDroid Dreams のように、昨年検出された有名なマルウェアグループが、活動中のマーケットスパムの典型的な例であることは特に不思議ではありません。複数のアプリを伴うだけでなく、複数の開発者 ID を使ってリスクを拡散することも一般的な手口です。Android.Rootcager の後継である Android.Lightdd もスパマーによって Google Play に公開されましたが、Android.Rootcager ほどの悪評が立つことはありませんでした。多くの点で Android.Lightdd は時期尚早だったと言えます。スパマーに共通する多くの特徴、なかでもルート悪用の減少傾向が見られるからです。

パート 3 に続きます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。