パロアルトネットワークスは同社のリサーチセンターブログで、スマートデバイスに対する新たなマルウェアと配信手法が確立しつつあるとして注意を呼びかけている。
同社は、次世代ファイアウォールとネットワークセキュリティをクラウドとオンプレミスの双方で企業向けにサービス提供しているが、マルウェア検知サービスの「WildFire」がAndroidマルウェアの検出と防御に対応したことを9月11日に発表している。
今回の発表は、「WildFire」に配信するシグネチャを生成するために、同社が主要なAndroidマーケットから収集した30万種類以上のマルウェアを分析した結果、見つかったマルウェアと配信手法だという。
アプリの開発者は、収益を確保するために課金を含むアプリの有料販売を行うか、広告を表示することで無料配信する2つのケースがある。
このうち、無料配信を行う際に利用される広告表示が、マルウェアの配信経路に使用されているケースがあるという。
広告の表示を行う際、アプリ開発者自身がそれぞれ広告主を見つけることは現実的ではなく、Googleの広告配信プラットフォーム「AdMob」などのSDK(ソフトウェア開発キット)をアプリ内に組み込むことで簡単に広告収入を得ることができる仕組みが成り立っている。
ユーザーサイドからすれば、Googleのような大企業の広告配信プラットフォームを使ってもらうことが安全安心に繋がる。
その一方でアプリ開発者からすると、少しでも収益性を上げるために、よりレベニューシェアの取り分が多いプラットフォームを選択する。そのため、プラットフォームの出どころがよく分からないプラットフォームを使用してしまう開発者も少なくないという。
これによって、アプリ自体には問題がない場合でも、広告配信プラットフォームを通して、悪意のあるペイロードが配信されてしまうとしている。
悪意のあるペイロードは、RAMメモリ上に展開され、ユーザーが新たにアプリをインストールする際、一緒にマルウェアをインストールしてしまうという。
パロアルトでは、「何も問題のないアプリをインストールしているにも関わらず、侵入経路が開かれ、知らぬ間にマルウェアをインストールしてしまうことになる」として、警告を行っている。
現在のところ、多くのAndroid向けセキュリティソフトは、RAMメモリ上に展開されているペイロードなどを検知できない。同社では、クラウド版「WildFire」でAndroidのサンドボックス環境を構築し、アプリの振る舞いを確認することで、このようなマルウェアを検知しているという。
