Android.Lockscreen の新しい亜種が登場し、単純ながら効果的な手口で、デバイスに侵入する成功率を高めつつあります。この新しい亜種は、主な動作を一種のランチャーのように偽装して、Android 3.1 以降で導入された自動起動の制限を回避しています。
以前お伝えしたように、ユーザーが一度も実行したことのないアプリケーションの自動起動は Android OS によって許可されません。攻撃者が自動起動のマルウェアを使えないようにするためです。Android にこの保護機能が実装されると、攻撃者はユーザー自身に悪質なアプリケーションを起動させ、その後も実行され続けるように、ソーシャルエンジニアリングの手口を使いはじめました。さらに最近では、感染した Android デバイス上で確実にマルウェアが実行されるように、昔ながらのソーシャルエンジニアリング手法によらない新しい手口も使われるようになっています。
今回見つかった Lockscreen の新しい亜種は、ランチャーの一種として機能します。つまり、ユーザーがホームボタンを押すと、Lockscreen のメインコンポーネントが Android デフォルトのランチャーアプリケーションに代わる候補として表示されるということです。マルウェアには偽名が付けられているため、ユーザーが何も知らずに起動してしまう可能性がさらに高くなっています。
[click_to_tweet:1]
図 1 は、このマルウェアがデバイスにインストールされたときの状態です。この段階で、悪質なアプリケーションはすでにインストールされていますが、まだ実行されていません。にもかかわらず、ランチャーに偽装することで起動の足がかりを確保することに成功しています。図 1 の例で、マルウェアは「Android」という名前を選択していますが、これには 2 つの理由があります。まず、ランチャーはアルファベット順にリストされるため、Android デフォルトのランチャー(「Launcher」という名前)より上に表示されるという理由です。次に、「Android」という名前であれば、これが Android OS に搭載される正規のランチャーだと信じるユーザーもいるという理由もあります。
図 1. メインコンポーネントをランチャーに偽装する Android.Lockscreen の亜種
デフォルトの Android ランチャーを選択するか、ほかにインストールしている正規のランチャーがあればそれを選択するよう注意し、[1 回のみ]ではなく[常時]を選択すれば、このマルウェアの実行は防ぐことができます。そのうえで、悪質なアプリケーションをアンインストールしてください。
保護対策 シマンテックとノートンの製品は、このブログでお伝えした脅威を以下の定義で検出します。
対処方法 モバイルを狙う脅威から身を守るために、以下のベストプラクティスに従うことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】