この調査にご協力いただいた Eric Chien 氏に感謝します。
はじめに
シマンテックは最近、ノースカロライナ州立大学の Xuxian Jiang 氏が初めて指摘した新しい Android マルウェアについての報告を受け、この脅威に使われているコマンド & コントロール(C&C)サーバーについて調査を開始しました。このマルウェアは、公式の Android マーケットではなくサードパーティのマーケットプレイスで発見されたもので、電話のオプションを設定する正規のアプリケーションに仕込まれています。トロイの木馬が仕込まれたアプリケーションは、Android マルウェアの感染経路として定番であり、外見上は正規のアプリケーションと変わらぬままマルウェアの拡散に荷担します。
C&C サーバーを解析したところ、ボットネットの存続期間に接続されて感染した端末の合計数は、数十万にのぼると見られています。利益につながる可能性がある感染端末の数は、1 日当たり平均で 10,000 から 30,000 に達しており、同じ感染率が続けばボットマスターが年間で巨万の富を築くに十分です。推測される売上高については、後述の「収益の確保」をご覧ください。これまでのところ、このボットは 2011 年 9 月以来一定の感染率を保っています。標的は、中国のモバイルユーザーです(トロイの木馬が仕込まれたアプリケーションは、中国のサードパーティマーケットからしかダウンロードできません)。有料 SMS、テレフォニー、ビデオサービスからの収益確保に利用されているのも、中国の大手携帯キャリア 2 社のネットワークに限られています。これだけ長く活動を続けている以上、ボットマスターはすでに何十万ドルという稼ぎを得ている可能性があります。同類のボットネットは以前から存在しますが、実際に収益につながる仕組みが具体的に明らかになったのは、今回が初めてです。
トロイの木馬が仕込まれたアプリケーションのスクリーンショット
ボットネットの構造と規模
トロイの木馬が仕込まれたアプリケーションを実行すると、元の正常なソフトウェアと悪質なアプリケーション(Android.Bmaster)の両方がインストールされ、感染した端末からリモートサーバーへのアウトバウンド接続が確立されます。マルウェアは、ユーザーと端末の固有データをリモートアドレスに送信し、サーバーから APK ファイルをダウンロードして実行しようと試みます。マルウェアの第 2 段階としてここでダウンロードされるファイルは、Android 用のリモート管理ツール(RAT)であり、Android.Bmaster として検出されます。このタイプのマルウェアは、リモートサーバーからコマンドを発行してリモートからデバイスをコントロールする場合に使用されます。
シマンテックは、このマルウェアの提供元であるサーバーの調査を開始し、さらに 27 個の Android アプリケーションがダウンロード可能であることを発見しました。見つかったサンプルはすべて Android.Bmaster であることが特定され、ダウンロード可能なマルウェアファイルのタイムスタンプから判断すると、このコマンド & コントロールサーバーは 2011 年 9 月から今日に至るまで感染源として機能してきたことがわかりました。
リモートサーバーにホストされている他のページを解析した結果、Android.Bmaster に感染した携帯端末のすべてを監視していると思しきアプリケーションも見つかりました。これは驚くべき発見でした。マルウェアに感染した端末の数と、Bmaster ボットネットの全体的な規模を知ることができるからです。
監視を行っているフロントエンドを翻訳したスクリーンショット
リモートサーバーから入手できた情報を解析し、コマンド & コントロールパネルを調べたところ、感染した端末の総数は数十万に達しているようです。これは、コマンド & コントロールのデータ自体に対するクエリーに基づいて、サーバーの監視ページで見つかった一意の IMEI の数を考慮した数字です。コマンド & コントロールパネルでは、感染した端末から毎日送られてくるハートビート ping もグラフ表示されており、そのデータからボットの数が数千の桁に及ぶことも判明しています。
感染した端末から毎日送られてくるハートビートの数を示した図
標的
感染した端末の大部分は、中国のユーザーが所有するものでした。マルウェアからは、以下のデータが送信されていることもわかっています。
感染した端末から送信される地域情報は、前掲の図のようにコマンド & コントロールパネルに反映されます。また、感染した端末はボットマスターから設定の変更が可能であり、中国の大手携帯キャリア 2 社からの着信メッセージをすべて遮断できてしまうことも明らかになりました。これは以前の Android マルウェアでも使われた手口で、カスタマサービスの担当者は感染したユーザーに連絡を取れなくなります。メッセージセンターの電話番号(マルウェアによってログに記録される)を調べたところ、ユーザーは中国とその周辺地域に集中していました。
感染した端末が表示されているスクリーンショット
機能
端末固有情報と地理情報を盗み出すことは前述したとおりですが、Android.Bmaster の機能はそうしたデータ侵害だけにとどまりません。ほかでも報告されているように、この種のリモート管理アプリケーションはさらに多くの機能を備えています。Android.Bmaster は RAT であり、リモートサーバーからコマンドを受信することが可能です。シマンテックが確認しただけでも、テキストメッセージの送信、着信テキストメッセージの遮断、発信した通話の詳細ログの記録(通話時間や相手の電話番号まで含む)、電話の発信操作、接続先のコマンド & コントロールサーバーの更新、WAP アクセスの記録と生成といった機能があります。さらに驚異的なのは、このボットネットがこれほど膨大な量のデータを取得してコマンド & コントロールサーバーに保存しているらしい点です。攻撃の初期段階でどの端末が感染したか、どの端末で悪用が試みられ、どの端末で悪用が成功したか、という情報まで記録されている証拠も見つかっているほか、感染した端末のうちどれでコマンドの実行が可能かを記録するボットネットの存在も確認されています。
収益の確保
このボットネットの背後にあるのは、金銭的な動機です。感染した端末に対して、有料サービス(コマンド & コントロールパネルの監視ページと管理ページに表示されます)の代金を支払うよう強制するためにボットネットが機能しています。ボットネット攻撃の対象は中国のネットワーク 2 社の携帯ユーザーに限定されており、他のネットワークの端末も感染はしていますが、ボットマスターの側がそれらの端末を「do not use(対象外)」として扱っています。ボットマスターは、地理的な情報と携帯キャリアに基づいてルールを定めており、感染した端末で実行される処理もそのルールで決まっています。たとえば、端末がコマンド & コントロールサーバーに初めて接続した場合には、端末の機種、マルウェアのバージョン、地理的な位置、携帯キャリアに一致する一連のルールが割り当てられます。ボットマスターは次に、それらのルールの設定を調整して、感染端末から接続を試行させる有料サービスを指定します。感染した端末はさらに、有料番号に SMS メッセージを送信する、有料テレフォニーサービスに接続する、あるいはペイパービューのビデオを視聴するなどの動作を行うように設定されます。
ボットマスターは、感染した端末を細かいレベルで制御できます。端末から接続を試行する有料サービスの種類に応じて、さまざまな設定オプションがあり、たとえば特定の有料 SMS 番号にメッセージを送信する場合には、一定の日数に対して特定の料金(たとえば 3 日分)を課金するといったことが可能です。有料のビデオまたはテレフォニーサービスに接続する場合にも、有料番号やペイパービューの Web サイトに接続している時間などを自由に設定できます。マルウェアによってどの着信メッセージを遮断するかさえ、ボットマスターの思うままです。携帯キャリアからのメッセージを遮断する目的で使われるのが一般的ですが、有料サービスから端末に返信されるメッセージを遮断する設定ももちろん可能です。ということは、端末の設定しだいで、特定のキーワード(「オンデマンド」、「無料」など)を含むメッセージもすべて遮断できることになり、かりに感染したユーザーへの警告があったとしても無効になってしまいます。
2012 年 1 月 1 日時点で確認された実効感染数
こうした機能が、感染した端末のすべてで可能になるわけではありませんが、相当数の端末では可能です。コマンド & コントロールのフロントエンドでは、実際に収益を生んでいる端末の数が 1 日ごとに集計されています。ボットマスターに儲けをもたらしている端末の実効数は、2012 年 2 月 6 日が 11,000、2012 年 1 月 1 日が 29,000 でした。感染した端末の実効数は、1 日当たり 10,000 から 30,000 の間というところでしょう。中国の有料 SMS 番号は1 メッセージ当たり 0.15 ~ 0.30 ドルで、この額はけっして高いものではありませんが、ボットネット上で感染した端末の実効数と、ほとんどのユーザーが感染の事実にすら気づかないことを計算に入れれば、合計額はたちどころに膨れあがります。
上にあげた日付を感染端末の実効数の下限および上限と考えると、このボットマスターは 1 日に 1,600 ~ 9,000 ドル、年間にすれば実に 547,500 ~ 3,285,000 ドルを売り上げていることになります(この売上のうち 1 パーセントは、有料コンテンツチャネルの利用に関する売上分配契約などによる間接費として支払いが必要です)。
これは、Android ボットネットが実際に金儲けに利用された初めての例ではありません。そして、Android アプリマーケットの巨大さ、セキュリティチェックがないサードパーティのアプリストアを利用できる現状、そして今回のようなボットネットがもたらす膨大な利益を考えると、Android.Bmaster を利用した一攫千金ボットネットがこれで終わるとも、まず考えられません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。