悪意のあるマルウェアの開発者は、公式の Android マーケットから人気のある無料アプリケーションを取得し、Android 端末の root 権限の取得、データの収集、バックドアの作成といった動作を可能にするマルウェアをアプリケーションに仕込みます。シマンテックでは、これまでにも Android.Geimini や Android.Pjapps などの数多くの脅威を確認していますが、それらは、非公式の Android マーケットプレイスで提供されているものでした。
どうやら、一部のマルウェア開発者は、こういった従来の手法だけでは飽き足らないようです。シマンテックでは、このような従来の傾向に従った数々の悪質なアプリケーションを確認してきましたが、今回のアプリケーションは、公式の Android マーケットで発見されています。問題のアプリケーションは、人気の高い無料アプリケーションにマルウェアが仕込まれたもので、正規のものとは異なるアプリケーション名と公開者名で公式のマーケットプレイスで再配布されていました。関係者によると、これらのアプリケーションが公開されてから 4 日間で、ダウンロード件数は 50,000 から 200,000 件にも上ったようです。Google では、これらのアプリケーションを公式の Android マーケットプレイスから削除する措置を講じています。
Android パッケージ(.apk)には、「rageagainstthecage」というファイルが含まれています。このファイルは、通常、Android 端末の root 権限を取得するために使用されるツールです。正規の環境では、このファイルは、Android 端末の所有者が各自の端末で管理者権限を取得するために使用できます。今回の場合、Android.Rootcager というマルウェアが Android 端末の root 権限を取得することで、通常は端末で許可されていない動作(スクリーンショットの撮影など)を行うことができるようになります。
特に、Android.Rootcager は、ユーザーの同意を得ることなく Android 端末の root 権限を取得して、さまざまな動作を実行します。このマルウェアによって DownloadProvidersManager.apk が投下されると、インストール済みのアプリケーションが監視され、バックグラウンドサービスとしてコードの追加パッケージがダウンロードされます。さらに、Android 端末を識別するために使われる IMEI 番号と IMSI 番号を記録し、データを外部の Web サイトにアップロードしようとします。
影響を受けていると思われるアプリケーションを以下に示します。これらのアプリケーションが Android 端末にインストールされていないかどうか確認してください。
公開者: kingmall2010 アプリケーション:
公開者: myournet アプリケーション:
公開者: we20090202 アプリケーション:
これらのアプリケーションのいずれかをインストールした覚えがある場合は、以下のスクリーンショットに示すように、Android 端末の[実行中のサービス]設定で com.android.providers.downloadsmanager(DownloadManageService)もチェックしてください。
Android Police の Justin Case 氏、同僚の Irfan Asrar 氏のご協力に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。