Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Android.CoolPaperLeak - ミリオンダウンロードベイビー

Created: 09 Jan 2013 09:22:38 GMT • Translations available: English
Lionel Payet's picture
+1 1 Vote
Login to vote

寄稿: Cathal Mullaney

アダルト画像でユーザーを誘い込み、マルウェアやセキュリティリスクをコンピュータに仕込むという手法は特に目新しいものではありません。シマンテックは最近、この「アメとムチ」のテクニックを用いたアプリを 3 つ発見しました。いずれも Google Play で公開されていたもので、累積で 500,000 回から 1,500,000 回もダウンロードされています。

問題のアプリの名前は「Porn Sexy Models Wallpaper」、「Porn Sexy Girls Live Wallpaper」、「Sexy Girls Ass Live Wallpaper」ですが、現在はすでに Google Play から削除されています。

図 1. Google Play に公開されていたセキュリティリスクのスクリーンショット

入念な調査の結果、これらのアプリはいずれも同じ開発者によって作られたもので、正規の安全なアプリを改変したものではなく、最初からセキュリティリスクとして開発されたものであることがわかりました。シマンテックでは、これらのアプリを Android.Coolpaperleak として検出します。

それでは、Android アプリの「Porn Sexy Model Wallpapers」を見てみましょう。

このアプリをデバイスにダウンロードしてインストールすると、電話のアプリ設定の下に、新しいショートカットが作成されます。

図 2. アプリのアイコン

アプリを起動すると、リモートサーバーへの接続が始まります。接続が完了すると、このアプリは電話を識別する機能を実行し、デバイスから次の情報を抽出します。

  • アプリ名
  • Gmail アドレス
  • GPS の緯度と経度
  • IMEI 番号
  • ネットワークオペレータの情報

次に、上記の情報を使って HTTP POST 文字列を改ざんし、それをリモートのコマンド & コントロール(C&C)サーバーに送信して、下記の場所と通信するよう要求します。
[http://]host1.TUINATA.COM/getur[削除済み]
 

C&C サーバーとの通信

感染したデバイスと C&C サーバーとの間では、図 3 のような形ですべてのデータがやり取りされます。

図 3. 盗まれた情報のスクリーンキャプチャ

感染したデバイスは、POST を送信します。POST には、デバイスを識別する情報に加えて、C&C サーバーに対して要求するデータの「req」フィールドが含まれます。リモートサーバーはトロイの木馬の要求に対して「ans」フィールドで応答します。上のスクリーンショットでは、アプリが「req=server」という形式で C&C サーバーからサーバーパラメータを要求しています。サーバーは、「ans=http://farm.tak[削除済み]kata.com/geturl.asp」という形式のフィールドで応答します。

サーバーから受信した要求の種類によっては、それ以外のデータがデバイスから送信されることもあります。感染したデバイスと C&C サーバーとの間でこのように通信が繰り返され、各 HTTP POST で重要な情報が送信されます。最終的に、デバイスは次の 2 つの要求を受信します。

  • Req=ua
  • Req=imagearray

この時点で、アプリはリモートサーバーから複数の URL を受信します。それぞれの URL はアプリのギャラリーとして表示されます(図 4)。

図 4. 確認されたギャラリー

アプリはここで複数の異なる広告サーバーに接続して、取得した広告にアクセスします。その際、ユーザーには操作の結果は表示されません。さらに、最初のギャラリー画像を読み込み、図 5 のようにユーザーに小さな広告を 1 つ表示します(ただし、バックグラウンドではさらに多くのサイトにアクセスしています)。

図 5. 小さな広告が表示された画像

: アプリは Android の GET_ACCOUNTS 許可を要求します。この許可により、設定されているアカウントを列挙できるようになります。これは、ユーザーがアカウント名の漏洩に同意したことを意味しているわけではありません。ほとんどのアプリは、ユーザーをサービスに接続させられるかどうかを確認するためにこの許可に要求しますが、正規のアプリの場合、ユーザーのアカウント名を実際にサーバーに送信することはありません。

最後に、このようなアプリがなぜこれほど多くダウンロードされているか、理由を考えてみましょう。
 

テーマとターゲット層

アダルト業界は、インターネットで閲覧数が最も多い分野です。表向きには、アダルト業界の顧客ターゲットは非常に限定されていますが、それ以外の層も簡単にアクセスすることが可能です。

スマートフォン市場は順調に拡大しており、スマートフォンアプリの開発に最先端の知識やセンスはもはや必要はありません。ダウンロード数が多いタイプのアプリ(壁紙)をアダルトコンテンツに組み合わせれば、ダウンロード数トップクラスのアプリを手軽に作り出せるでしょう。

Google は、アダルトアプリについてガイドラインで次のような趣旨を明記しています。「アプリケーションには、(テキスト、画像、動画、またはその他の媒体により)ポルノ、わいせつなコンテンツ、ヌード、性行為を表示またはこれらにリンクするコンテンツを含めないでください」しかし、この文言では規制の迂回を防ぐことはできず、開発者は別の経路でアプリを配布したり、本当のコンテンツを隠して配布したりするだけでしょう。

このブログで取り上げたアプリは、こうした迂回策の実例です。Google Play ページで表示されていた画像や説明文は許容範囲内にあるものです。しかし、いったんアプリ内の壁紙をブラウズすると、目の前にあるのは膨大な数のポルノ画像です。
 

丸腰のユーザー

信じられないかもしれませんが、スマートフォンやタブレットにセキュリティソフトウェアをインストールしていないユーザーはいまだにたくさんいます。そのため、悪質なアプリやセキュリティリスクが気付かれないまま蔓延しているというのが現状です。我々がそうしたアプリをさらに検出できれば、悪質なアプリやセキュリティリスクが市場で生き延び、はびこるチャンスは少なくなります。

Android 携帯でノートン モバイルセキュリティをお使いのお客様は、この脅威から保護されています。

ノートン モバイルセキュリティは、5 つ星(投票数 81,000)の評価と 5,000,000 回から 10,000,000 回ものインストール数を記録していますので、少なくとも Google Play のアダルトアプリよりは成功していると言えるでしょう。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。