シマンテックでは、公式の Google Play マーケットに新しいマルウェアが公開されていたことを確認しました。このマルウェアは、2 つの人気ゲームタイトルとして公開されていました。1 つは「Super Mario Bros.(スーパーマリオブラザーズ)」、もう 1 つは「GTA 3 Moscow City」です。どちらも 6 月 24 日に Google Play に公開され、それ以来 50,000 ~ 100,000 のダウンロードが記録されています。
このトロイの木馬で特に注目すべきなのは、これほど長く Google Play 上にとどまるよう工夫され、見つかるまでの間に非常に多くのダウンロード数を記録しているという事実です。このトロイの木馬で採用されているリモートペイロードが原因ではないかと推測しています。
この手法は、1 年ほど前のブログ記事で取り上げたことがあります。自動化された QA 審査プロセスで異常として検出されないように、悪質なアプリを複数の段階的なペイロードに分割するという手口です。Android.Dropdialer の場合、Google Play には第 1 段階のパッケージが公開されていました。それをインストールすると、Dropbox に保存されている「Activator.apk」という追加のパッケージがダウンロードされます。
図 2. モバイル脅威のペイロード分散プロセス
この追加のパッケージが、プレミアムレートの番号に SMS メッセージを送信します。この 2 番目のペイロードで注目すべき機能は、プレミアム SMS メッセージを送信した後で、自身のアンインストールを求めてくることです。これは明らかに、悪質なアプリの本当の目的を隠匿しようという意図です。プレミアム SMS は、東ヨーロッパを標的にしています。
シマンテックからの発見報告を受けてすぐにこの脅威を削除してくださった Android Security に感謝の意を表します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。