寄稿: Tommy Dong
シマンテックは、広く利用されているソーシャルメディアアプリ Viber から写真や動画を盗み出すアプリを Google Play で発見しました。このアプリ「Beaver Gang Counter」は、人気のカードゲームで利用するスコア記録アプリに偽装していますが、裏では Viber アプリ関連のメディアファイルを検索し、リモートサーバーに送り付けています。
図 1. Viber のメディアファイルを盗み出す Beaver Gang Counter アプリ
はい、チーズ! Beaver Gang Counter をリバースエンジニアリングしたところ、悪質な活動が確認されました。
図 2. Beaver Gang Counter アプリで見つかった、Viber メディアファイルを盗み出すコード
このアプリには、Viber が画像と動画の格納に使うディレクトリを検索するコードが実装されています。収集したメディアは、リモートの Web サーバーに送信されます。
Viber は、非常に人気の高いソーシャルメディアアプリで、Google Play だけでもインストールは 5 億回を超えています。Beaver Gang Counter によって盗み出されたデータは、なりすまし、脅迫、詐欺、ポルノなどの不正な目的に次々と悪用されてしまいます。
それだけではなく… Beaver Gang Counter を細かく観察すると、さらに目立つ手口も使われていることがわかりました。時間差攻撃です。このアプリの場合は、メディアファイルを収集する必要があるかどうかを確かめるために、コマンド & コントロール(C&C)サーバーにクエリーを送ります。こうすると、サーバーを運用している犯人は悪質な活動の実行と停止を意のままに切り替えられるため、セキュリティベンダー、あるいは Google Play のアプリ審査サービスである Bouncer による動的な解析をくぐり抜けることができます。シマンテックのセキュリティ製品は、この脅威を Android.Vibleaker として検出します。
図 3. C&C サーバーにクエリーを送って攻撃のタイミングをはかる
仕事でも私生活でも、スマートフォンを利用する場面が増えるにつれて、利用者にとってのリスクは大きくなり、新しいリスクも次々と出現するようになってきました。マルウェアの作成者もますます巧妙になっており、消費者の手元から世界中に発信される膨大な個人情報は常に狙われる可能性があります。
オンラインで写真や動画を盗まれるという被害は、Apple iCloud のアカウント侵害が発生して有名人の写真が流出するという事件で、しばらく前からモバイルユーザーの間で広く知られるようになりました。今回お伝えしている悪質なアプリでもわかるとおり、デバイスから写真などを盗まれるリスクには、Android ユーザーも注意しておく必要があります。
シマンテックは、今回の問題をすでに Google に報告しており、問題のアプリとその開発者はすでに Google Play から削除されています。
対処方法 モバイルを狙う脅威から身を守るために、以下のベストプラクティスに従うことをお勧めします。
保護対策 シマンテックとノートンの製品は、このブログでお伝えした脅威を以下の定義で検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】