シマンテックは先日、ゲームや教育アプリに偽装した悪質なアプリ 38 種を Google Play ストアで発見しました。どれも、被害者のデバイスに侵入すると、ホーム画面からアイコンを消すことでその存在を隠します。被害者は Google Play ストアで別のアプリをインストールするよう誘導され、そのアプリが広告を表示するほか、最小限の機能も併せ持っています。しかも、バックグラウンドではユーザーが知らないうちに、いくつかのブログの URL も読み込まれます。
[click_to_tweet:1]
一連の悪質なアプリ(Android.Reputation.1 として検出されます)が Google Play ストアで公開されたのは、2017 年 12 月のことです。開発元は learningdevelopment という名前で、メールアドレスは alkaarten@gmail.com となっていました。
図 1. ノートン モバイルセキュリティの Google Play アプリアドバイザーが、悪質なアプリを警告
Google Play に公開された名前によると、アプリはゲームか教育アプリということになっています。アプリの動作を理解するために、38 種類のうちのひとつについて詳しく見ていくことにしましょう。ここで例として取り上げるのは、com.aladdinandtheancientmagiclamp.aladdingames です。
図 2. Google Play ストアに表示される名前は、翻訳すると「Aladdin and the Ancient Magic Lamp(アラジンと古代の魔法のランプ)」となる
デバイスにインストールされると、このアプリは「Helper」という偽の名前で表示されます。
図 3. インストール後にデバイスで表示される偽のアプリ名
起動するとすぐに、API から setComponentEnabledSetting を呼び出して、ホーム画面から自身のアイコンを消します。バックグラウンドでは活発な動作を続けたままです。
ストアで謳っているような機能は実行しません。その一方で、被害者を強制的にリダイレクトして、Google Play ストアから別のアプリをインストールさせようとします。ここで推奨されるのは「Change my voice」というアプリで、パッケージ名は com.ModifySound.VoiceChanger、開発元は TopTech です。たしかに、録音した音声を変える単純な機能は備えていますが、大量の広告も表示します。
広告の URL が各種のブログにリンクしていることから察すると、このアプリはそうしたサイトへの Web トラフィックを増やすために使われているようです。
存在を隠したまま、このアプリはバックグラウンドでサービスを実行し、デバイスのネットワーク接続状態を常に監視しています。ネットワーク接続が使える状態になると、前述した悪質なアプリのうち、残り 37 種のいずれかがこのデバイスにインストールされているかどうかチェックします。どれもインストールされていないことが判明すると、バックグラウンドで複数の URL を読み込みます。広告の URL が各種のブログにリンクしていることから察すると、このアプリはそうしたサイトへの Web トラフィックを増やすために使われているようです。
これまでのところ、一連の悪質なアプリをダウンロードしたユーザーの大半は、米国、英国、南アフリカ、インド、日本、エジプト、ドイツ、オランダ、スウェーデンに分布しています。Google Play ストアで公開されており、名前や説明からも正規のアプリに見えるためか、アプリは 1 万台以上のデバイスにダウンロードされたようです。Google にはシマンテックから連絡済みであり、アプリはいずれも、すでに Google Play ストアから削除されています。
保護対策
シマンテック製品とノートン製品は、一連の悪質なアプリを以下の定義で検出します。
対処方法
モバイルマルウェアから身を守るために、以下の対策を忘れないようにしてください。
- ソフトウェアは最新の状態に保つ
- 見たことのないサイトからはアプリをダウンロードしない
- アプリは信頼できるソースだけからインストールする
- アプリがリクエストする許可の種類に注意する
- デバイスとデータを保護するために、ノートンや SEP Mobile など、適切なモバイル用セキュリティアプリをインストールする
重要なデータは必ず頻繁にバックアップを作成する
図 4. アプリ 38 種のリスト
添付ファイル
Android.Reputation.1 で使われている SHA2 とパッケージ名を示したテキストファイル|TXT|3.43 KB
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。