Google Playの監視をすり抜けてAndroidマルウエア「BadNews」感染拡大

モバイルセキュリティソリューションを提供するLookoutがAndroid端末をターゲットにしたマルウエア「BadNews」の感染拡大を警告している。広告ネットワークを装ってGoogle Playの監視をすり抜けており、Google Playの統計から推測するとBadNewsの影響を受けたアプリがこれまでに同ストアから2,000,000回-9,000,000回もダウンロードされたという。

BadNewsは感染ペース以上に、これまでになかった攻撃手法から危険な存在となっている。表向きはいくつもの無害なアプリに採用された広告ネットワークSDKのようであり、LookoutのMarc Rogers氏は「ここまで巧みに広告ネットワークを装った有害ネットワークを確認したのは初めて」としている。同社が確認したところ、ロシア語の辞書アプリ、壁紙、ゲーム、英語のゲームなど、Google Playで配信されていた32個のアプリがBadNewsの入り口となっていた。これらがBadNewsをホストすることを目的に作成・配布されたのか、それとも一般の開発者がだまされてBadNewsを採用したのかは「不明」だという。

BadNewsの入り口となっていた32個のAndroidアプリ

BadNewsがアクティベートすると、4時間ごとにC&C (コマンド&コントロール)サーバに接続して、デバイスの電話番号や通話履歴、IMEI、コンタクトなど様々なデータをアップロードし、新たな命令を取得する。そしてアプリのアップデートメッセージなどを装って、ユーザーに被害を与えるプログラムをデバイスにダウンロードさせる。例えば、「skype_installer.apk」「mail.apk」というようなユーザーがインストール許可を与えやすいパッケージ名を使ってマルウエアのAlphaSMSを送り込み、デバイスのSMS機能に置き換えて使用料を詐取する。また、BadNewsをホストする他のアプリのインストールを促すメッセージを表示して被害を広げる手口も確認されている。

Lookoutからの報告によって、BadNewsの入り口となっていた32個のアプリはGoogle Playから削除された。しかしながら、ロシア、ウクライナ、ドイツなどで存在が確認されたBadNewsのC&Cサーバは同社がレポートを公開した後も稼働し続けている。こうした攻撃からAndroidデバイスを守るための対策として、同社は以下の2つを挙げる。