Endpoint Protection

 View Only
Back to Library

アプリに偽装したマルウェア、Google Play ストアで発見 

May 10, 2018 08:27 PM

シマンテックは先日、ゲームや教育アプリに偽装した悪質なアプリ 38 種を Google Play ストアで発見しました。どれも、被害者のデバイスに侵入すると、ホーム画面からアイコンを消すことでその存在を隠します。被害者は Google Play ストアで別のアプリをインストールするよう誘導され、そのアプリが広告を表示するほか、最小限の機能も併せ持っています。しかも、バックグラウンドではユーザーが知らないうちに、いくつかのブログの URL も読み込まれます。

[click_to_tweet:1]

一連の悪質なアプリ(Android.Reputation.1 として検出されます)が Google Play ストアで公開されたのは、2017 年 12 月のことです。開発元は learningdevelopment という名前で、メールアドレスは alkaarten@gmail.com となっていました。

図 1. ノートン モバイルセキュリティの Google Play アプリアドバイザーが、悪質なアプリを警告
図 1. ノートン モバイルセキュリティの Google Play アプリアドバイザーが、悪質なアプリを警告

Google Play に公開された名前によると、アプリはゲームか教育アプリということになっています。アプリの動作を理解するために、38 種類のうちのひとつについて詳しく見ていくことにしましょう。ここで例として取り上げるのは、com.aladdinandtheancientmagiclamp.aladdingames です。

図 2. Google Play ストアに表示される名前は、翻訳すると「Aladdin and the Ancient Magic Lamp(アラジンと古代の魔法のランプ)」となる
図 2. Google Play ストアに表示される名前は、翻訳すると「Aladdin and the Ancient Magic Lamp(アラジンと古代の魔法のランプ)」となる

デバイスにインストールされると、このアプリは「Helper」という偽の名前で表示されます。

図 3. インストール後にデバイスで表示される偽のアプリ名
図 3. インストール後にデバイスで表示される偽のアプリ名

起動するとすぐに、API から setComponentEnabledSetting を呼び出して、ホーム画面から自身のアイコンを消します。バックグラウンドでは活発な動作を続けたままです。

ストアで謳っているような機能は実行しません。その一方で、被害者を強制的にリダイレクトして、Google Play ストアから別のアプリをインストールさせようとします。ここで推奨されるのは「Change my voice」というアプリで、パッケージ名は com.ModifySound.VoiceChanger、開発元は TopTech です。たしかに、録音した音声を変える単純な機能は備えていますが、大量の広告も表示します。

広告の URL が各種のブログにリンクしていることから察すると、このアプリはそうしたサイトへの Web トラフィックを増やすために使われているようです。

存在を隠したまま、このアプリはバックグラウンドでサービスを実行し、デバイスのネットワーク接続状態を常に監視しています。ネットワーク接続が使える状態になると、前述した悪質なアプリのうち、残り 37 種のいずれかがこのデバイスにインストールされているかどうかチェックします。どれもインストールされていないことが判明すると、バックグラウンドで複数の URL を読み込みます。広告の URL が各種のブログにリンクしていることから察すると、このアプリはそうしたサイトへの Web トラフィックを増やすために使われているようです。

これまでのところ、一連の悪質なアプリをダウンロードしたユーザーの大半は、米国、英国、南アフリカ、インド、日本、エジプト、ドイツ、オランダ、スウェーデンに分布しています。Google Play ストアで公開されており、名前や説明からも正規のアプリに見えるためか、アプリは 1 万台以上のデバイスにダウンロードされたようです。Google にはシマンテックから連絡済みであり、アプリはいずれも、すでに Google Play ストアから削除されています。

保護対策

シマンテック製品とノートン製品は、一連の悪質なアプリを以下の定義で検出します。

対処方法

モバイルマルウェアから身を守るために、以下の対策を忘れないようにしてください。

  • ソフトウェアは最新の状態に保つ
  • 見たことのないサイトからはアプリをダウンロードしない
  • アプリは信頼できるソースだけからインストールする
  • アプリがリクエストする許可の種類に注意する
  • デバイスとデータを保護するために、ノートンSEP Mobile など、適切なモバイル用セキュリティアプリをインストールする

重要なデータは必ず頻繁にバックアップを作成する

図 4. アプリ 38 種のリスト
図 4. アプリ 38 種のリスト

添付ファイル
Android.Reputation.1 で使われている SHA2 とパッケージ名を示したテキストファイルTXT3.43 KB

【参考訳】

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.