Video Screencast Help
Symantec Appoints Michael A. Brown CEO. Learn more.
Security Response

Android の脅威の傾向によって既存の枠組みにとらわれないサイバー犯罪が明らかに

Created: 20 Jul 2011 12:16:35 GMT • Translations available: English
Irfan Asrar's picture
+2 2 Votes
Login to vote

インターネットを検索すると、過去数年、その年が「モバイルマルウェアの年」になると明言していた記事が多く見つかります。逆に言えば、それ以外の年はモバイルマルウェアの年になりえないということです。さらに、この検索結果は 10 年近く前までさかのぼったものです。このような予言的な文句が大胆かつ挑戦的である理由は、大抵の場合において、その記事が年初に書かれているからかもしれません。年初には、誰にもその年に何が起こるかわからないわけですから。

 
しかし、2011 年が本当の「モバイルマルウェアの年」になるかどうかを考えた場合、ここ数週間で起こった出来事だけを見ても、今年になってモバイル脅威の傾向に対して大きな変動があったという事実を十分に正当化できると思います。
 
 types and targets
図 1 ‐ 2011 年のモバイルマルウェア: 種類と標的
 
はっきりとわかることは、脅威の作成者の取り組みがさらに戦略的で大胆になってきているということです。モバイルマルウェアの感染経路を複雑化しようとする試みは増加傾向にあり、単に脅威をアンインストールするだけでは対応できないところまできています。
 
複数のペイロード
 
その戦略のひとつに、悪質なパッケージを段階的なペイロードに分割するというものがあります。アイデアは単純です。攻撃する際、1 つのペイロードに悪質なコードの全部を追加せずに、個別に送信できるように脅威を分割したモジュールにします。このように脅威を展開すると、さまざまな利点があります。まず、脅威をインストールするときに出現する膨大で過剰な許可リストの警告を排除できます。この警告によって、ユーザーは悪質なアプリがインストールされようとしていることを知ることができます。次に、小さいペイロードを使うことで、隠蔽したり他のアプリに挿入したりすることが容易になります。さらに、個々のアプリにわたって攻撃を分散することで、サービスプロバイダやマーケットプレイスなどの総合的な無効化プロセスが複雑になります。
 
Dispersed payload process of mobile threat
図 2 ‐ モバイル脅威の分散したペイロードプロセス
 
この典型的な例として、新しく発見された Android.Lightdd の亜種があります。バックグラウンドで実行されているサービス名が「Game Services」と呼ばれるようになったり、接続先のドメイン名が新たに 3 つ追加されたりなど、いくつかの変更を除いては、先月発見されたサンプルと同じものです。このサンプルには、脅威の中にデータを隠すために使用される暗号化ルーチンやキーが含まれています。
 
Data-gathering process of Android.Lightdd
図 3 ‐ Android.Lightdd のデータ収集プロセス
 
この脅威はマルチペイロード配信システムの第 1 段階で、侵害を受けたデバイス上でスパイ活動や情報収集(モデル、言語、国、IMEI、IMSI、OS のバージョン)に関与します。これは、追加のペイロードのダウンロード前に行われます。
 
 "Game Services" running in Android.Lightdd
図 4 ‐ Android.Lightdd で実行される「Game Services」
 
興味深いことに、この脅威はインターネットからの直接ダウンロードに加えて正規の配信チャネルを通じて追加のコンポーネントや更新をダウンロードすることができます。書き込み時に、脅威に関連するホストはすべてオフラインになります。
 
 
Example of additional components and updates through official channels of distribution
図 5 ‐ 正規の配信チャネルを通じた追加のコンポーネントと更新の例
 
 
ユーザー許可の回避
 
以前の亜種のように Android.Lightdd も、ダウンロードされたものをインストールするときには、ユーザーの許可が必要です。このペイロードの配信モデルでは、これが大きな障害となっています。しかし、新たに発見された Android.Jsmshider という脅威では、この障害が回避されています。
 
AOSP(Android Open Source Project)の認証を使ってペイロードに署名することにより、脅威はユーザーの操作やメッセージの表示を行うことなくダウンロードを実行することが可能になりました。これは、動作中のデバイスがペイロードのことを認証を利用したシステム更新と判断するからです。ただし現時点では、この手口は特別に細工された脅威にしか効果はありません。
 
Example of Android.Jsmshider exploiting Android Open Source Project certificate
図 6 ‐ Android.Jsmshider による AOSP(Android Open Source Project)悪用の例
 
この脅威の比較的手の込んだインストール手法から判断すると、展開された最終的なペイロードが Stuxnet ワームとどこか似通ったものなのではないかと思うかもしれません。しかし、多くの場合、最終的なペイロードは、ありふれたプレミア SMS の送信元にすぎません。プレミア SMS の送信元やダイヤラーはウイルス対策の研究者達からあまり重要視されていません。その主な理由としては、これらが洗練さに欠けていることと、遠く離れた連絡先から誰もが受け取るような、一生に一度の掘り出しものを約束するといった内容の電子メールのように、その大部分をソーシャルエンジニアリングに頼って報酬を得ているからです。しかし、そういった電子メールはずいぶん前から存在していて、モバイルの脅威に関する限りでは、もっとも優れた投資収益率(ROI)を作成者たちにもたらしています。
 
盗まれたクレジットカードの平均価格(競争と市場動向という要因を背景にして)が 1 枚につき 0.40 ドル~ 0.80 ドルまで下がったことがさまざまな研究によって実証されています。対照的に、発見された最新のダイヤラーは、北アメリカをターゲットにしており、インストールと実行に成功するたびに作成者に 9.99 ドルが支払われます。さらに、ユーザーにより脅威が検出されない場合は、実行されるたびに継続的に収益を上げることが可能になり、これはデバイスの所有者が次の電話代の請求書に目を通すまで続くことになります。
 
シマンテックで確認したもうひとつの興味深い傾向は、他のアプリのプロモーションやダウンロードを支援するアプリ内蔵の機能が利用されていることです。一部の例では、他のサードパーティアプリストアへの本格的なブラウジングアクセス機能として実装されていました。これは、ユーザーが正規のマーケットプレイスからダウンロードしたオリジナルアプリの隠れた機能として埋め込まれていたものです。この機能は、被害者が他の Web サイトやストアからブラウジングアプリをダウンロードしていることに気づくことなく実行されます。
 
Example of in-app features that facilitate the promotion and/or download of other apps
図 7 ‐ 他のアプリのプロモーションやダウンロードを支援するアプリ内蔵の機能
 
アプリを追加してインストールするにはユーザーによる操作が必要ですが、この脅威はソーシャルエンジニアリングの要素を持っていることが懸念されています。最初のアプリが正規のチャネルを通じてダウンロードされているので、ユーザーはそれ以降に追加されるアプリもそのチャネルからダウンロードされているものと思い込みます。ユーザーはサードパーティのサイトからダウンロードしていることに気づかないため、この特定の脅威との信頼関係が生まれる可能性があります。
 
すべてを考慮してみると、ひとつの疑問が浮かんできます。今年が本当の「モバイルマルウェアの年」ならば、ここから先、私たちはいったいどこへ向かうのでしょうか。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。