寄稿: Martin Zhang
シマンテックは、感染力が強い新しい Android マルウェア(Android.Sockbot として検出されます)を発見しました。Google Play 上のアプリに偽装し、侵入したデバイスをボットネットに追加しようとします。これまでのところ、同様のアプリが少なくとも 8 種類は見つかっており、インストールベースは 60 万台から 240 万台の範囲に達しています。Sockbot は、主に米国のユーザーを標的にしていると見られますが、ロシア、ウクライナ、ブラジル、ドイツでも確認されているようです。
図. 「Minecraft PE」のスキンアプリに偽装する悪質なアプリのひとつ
今回見つかったアプリの表向きの用途は、「Minecraft: Pocket Edition(PE)」でキャラクターの外見を変更することですが、バックグラウンドでは、功名に隠蔽された高度な攻撃機能がはたらいています。シマンテックは、実際に稼働している Sockbot のネットワーク解析を実施し、この活動が不正な広告収入を目的にしていることを突き止めました。
このアプリは、ポート 9001 でコマンド & コントロール(C&C)サーバーに接続し、コマンドを受け取ります。C&C サーバーは、SOCKS を使ってソケットをオープンするようアプリに命令し、指定したポートで所定の IP アドレスからの接続を待ちます。その接続が確立すると、ターゲットサーバーに接続するコマンドが発行されます。アプリは要求されたターゲットサーバーに接続し、広告のリストと、それに関連するメタデータ(タイプ、スクリーンサイズ、名前など)を受信します。同じ SOCKS プロキシのしくみを利用して、アプリは広告サーバーに接続し、広告表示を要求し始めます。
アプリ自体に、広告を表示する機能はありません。
プロキシを利用するネットワークは柔軟性が高いため、拡張が容易です。ネットワークベースの脆弱性をいくつも悪用でき、セキュリティの境界を押し広げる可能性もあります。任意のネットワーク攻撃に利用できるだけでなく、感染の範囲が広いことから、分散サービス拒否(DDoS)攻撃をしかける目的にも利用されかねません。
この攻撃活動に関係している開発元は 1 社だけで、FunBaster というメーカーです。攻撃コードは不明瞭化されており、キー文字列も暗号化されているため、基本レベルの検出には引っかかりにくくなっています。しかも、このメーカーは各アプリに別々の開発者キーを割り振っているので、静的解析ベースのヒューリスティックもすり抜けられてしまいます。
シマンテックは 10 月 6 日に、こうした悪質なアプリの存在を Google Play に通知しており、Google からもストアから該当のアプリを削除したと連絡がありました。
[click_to_tweet:1]
モバイルデバイスをお使いの方は、セキュリティについて以下のベストプラクティスに従ってください。
シマンテックとノートンのセキュリティ製品は、このマルウェアを Android.Sockbot. として検出します。
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。