以前のブログでお伝えしたように、モバイルで金融機関を狙うマルウェアでは、現在フォアグラウンドで実行中のアプリを特定する機能が欠かせません。偽ウィンドウを重ねて表示し、実行中のアプリをフィッシングに悪用するために必要だからです。Android 5.0 Lollipop と Android 6.0 Marshmallow では、実行中のタスクをマルウェアによって特定されないように、getRunningTasks() API が非推奨になりました。しかし、Google がこのように Android のセキュリティを強化したかと思えば、今度はマルウェアの作成者がそれを回避して克服する手口を生み出す、そんなイタチごっこが終わる気配はありません。シマンテックは、こうしたマルウェアの活動が確認されるたびに、その進化の様子をブログ記事でお伝えしています。
前四半期の間に発見された Android.Bankosy と Android.Cepsohord の亜種では、新しいセキュリティ強化機能を回避するために 2 つの手口が追加されていました。このうち、一方はユーザーに特別な権限を求めなければなりませんが、もう一方は権限の許可をまったく必要としません。
第 1 の手法: オープンソースプロジェクトを利用して現在実行中のタスクを特定する GitHub にホストされ、広く利用されているオープンソースのプロジェクトを使う手口です。特別な権限を求める必要はなく、"/proc/"ファイルシステムを読み込んで、実行中のプロセスを列挙し、現在フォアグラウンドにあるアプリを見つけます。このオープンソースプロジェクト自体が悪質なわけではありません。マルウェアの作成者が、このプロジェクトを悪用してセキュリティ対策を回避しているだけです。
この手法は、Android の次期バージョン(現時点ではコードネーム「N」)では通用しなくなります。
第 2 の手法: 実行中のタスクを UsageStatsManager API の出力から取得する デバイスの利用履歴と統計を利用するために Android 5.0 で導入された UsageStatsManager という API を悪用する手口です。マルウェアは、過去 2 週間にわたるアプリすべての利用統計を取得し、最も頻繁なアクティビティを計算します。
図 1. 過去 2 週間にわたる全アプリの利用統計を取得し、最も頻繁なアクティビティを計算する
このマルウェアは、UsageStatsManager API を利用するために、システムレベルの権限 “android.permission.PACKAGE_USAGE_STATS" をユーザーに求めます。この権限は[設定]アプリからしか許可できないので、その制限を克服するためにソーシャルエンジニアリングが利用されています。アイコンと名前を模倣することによって Google Chrome に偽装しつつ、統計にアクセスする権限をプログラム的に開始するという手法です。
図 2. プログラム的にインテントを起動して PACKAGE_USAGE_STATS 権限を取得する
オーバーレイマルウェアのプロジェクトが、概念実証の目的で同じく GitHub に公開されていますが、このマルウェアの作成者はそこからこの手口の着想を得たのかもしれません。このような特定のアクティビティをプログラム的に開始するという手法をサポートしていない OEM ベンダーもあります。たとえば、サムスンがそうです。
新しいセキュリティ強化を出し抜こうとするマルウェア マルウェアの作成者が、新しいセキュリティ対策を出し抜こうとして、尽きることなく繰り出してくる工夫にはつくづく感心させられます。今回の攻撃では、効果的なソーシャルエンジニアリングの手口が使われており、どんなシステムのセキュリティでもユーザーの意識レベルを考慮する必要があることを、改めて思い知らされました。システムで最も弱い要素がユーザーだった、ということも珍しくありません。
対処方法 モバイルを狙う脅威から身を守るために、以下のベストプラクティスに従うことをお勧めします。
保護対策 シマンテックとノートンの製品は、このブログでお伝えした脅威を以下の定義で検出します。
ウイルス対策
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】