Endpoint Protection

 View Only
Back to Library

Android マルウェアが復元力を備える 5 つの手口 

Sep 27, 2016 12:38 AM

寄稿: Tommy Dong、Martin Zhang

最近、検出をすり抜けるだけでなく、検出されてもなおインストール状態を維持できる Android マルウェアの新しい手法が次々と見つかりました。そうした手法が、数多くのマルウェアファミリー間で取り入れられていることも確認されています。今回のブログ記事では、このような技術をざっとまとめてみることにします。

1: パッキング

Android アプリのパッキングは、しばらく前から一般的になっていますが、ごく最近の傾向として確認されているのが、パッキングの技術を利用した Android マルウェアの流行です。シマンテックの顧客で確認されたマルウェアにパッカーが利用されている率は、過去 9 カ月間で 10% から 25% に上昇しました。

chart_symantec_style.png
図.  活動中の Android マルウェアでパッカーが使われている比率(単位 %)

2: MultiDex アプリ

Android アプリには、Dalvik Executable(DEX)ファイル形式で実行可能コードが含まれています。一般的な Android アプリの場合、DEX ファイルは 1 つです。標準のマルウェア検出はこのファイルを集中的に探しますが、ペイロードを 2 つの DEX ファイル(MultiDex)に分割する Android マルウェアが増えつつあります。こんな単純な方法でも、静的な分析に対しては安上がりな検出回避手段になります。

3: Instant Run ベースのマルウェア

Instant Run は、Android Studio 2.0 で導入された機能です。開発者は、更新版の .zip ファイルをアプリにプッシュして、アプリをデバッグするアップデートを短時間で配備することができます。マルウェアの作成者は、Instant Run によって使われる .zip ファイルに、マルウェアのペイロード部分を隠そうとしています。この検出回避方法を使えるのは、Android Lollipop(5.0)以降の SDK レベル上だけです。また、サイドローディングによってインストールされるデバッグバージョンのアプリにしか適用されないため、Google Play 上のアプリでは使えません。

4: 不正な形式のマニフェストファイル

最近、特に多く確認されている手口のひとつが、アプリのマニフェストファイル(AndroidManifest.xml)とコンパイル後のリソースファイル(resources.arsc)で異常な値を使ってスキャナから隠れる方法です。この手口を使うと、不正確なサイズ値とマジック値をヘッダーで用い、文字列プールとファイル末尾にジャンクデータを挿入して XML ネームスペースの不整合を起こすことによって、静的なスキャナを欺き、停止させることができます。

5: chattr を利用してシステムでマルウェアをロック

デバイスでルート権限を取得できるマルウェアは、除去が特に難しくなります。シマンテックが活動を確認しているのが、Android の Linux ルートを利用してマルウェアのインストールをロックするという新しい手口です。ここで使われるのが Linux の chattr コマンドで、ファイルに対してこのコマンドを使うと、ルート権限があってもそのファイルを削除できなくなります。マルウェアは、アプリに chattr ユーティリティをパッキングして暗号化し、それを利用してペイロードの APK をシステムフォルダにコピーしたうえでロックするため、除去の試みはさらに難しくなります。

敵の一歩先を行くために

モバイル環境が成熟し、複雑になって機能も豊富になると、モバイルマルウェアの作成者とモバイルセキュリティ製品との競争は激化の一途をたどります。マルウェアの作成者は、マルウェアに磨きをかけるために新しい手法を次々と取り込んでいるからです。シマンテックは、このような手法に打ち勝つために、さらに深化した静的な解析、動的な解析、さらにマシンラーニングを Mobile Insight の中で組み合わせ、検出回避の戦術にかかわらずマルウェアを識別しようとしています。

シマンテックは今後も、マルウェア作成者の先手を取ってお客様をお守りするために、モバイルの脅威を取り巻く環境の監視と、最新マルウェアの解析を続けていく所存です。

対処方法

モバイルを狙う脅威から身を守るために、以下の手順に従うことをお勧めします。

  • ソフトウェアは最新の状態に保つ
  • アプリは Google Play など信頼できるソースだけからインストールする
  • アプリが要求する権限の種類に注意する
  • デバイスとデータを保護するために、ノートンなど適切なモバイル用セキュリティアプリをインストールする
  • 重要なデータは必ず頻繁にバックアップを作成する

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.