Lookoutは11月9日、Androidを狙うトロイの木馬化した悪質なアドウェアを発見したと発表した。

Lookoutは、このアドウェアのサンプルを2万件以上検出しており、Candy CrushやFacebook、GoogleNow、NYTimes、Okta、SnapChat、Twitter、 WhatsAppなど、正規のアプリになりすましたものであった。攻撃者は正規のアプリを改造し、アドウェアを組み込んで、サードパーティのアプリストア上で配布している。

Oktaになりすます新種のアドウェア

端末にアドウェアがインストールされると、アドウェアは自動的に端末のルートの権限を取得する。この権限によって、端末にインストールされている正規アプリを侵害。通常はアクセスできない、アプリの領域外にあるファイルにアクセスする。アドウェアはバックグラウンドで動作し、正規のアプリの機能を利用できるため、利用者は感染したことに気付きにくい。

Lookoutは、トロイの木馬化したアドウェアの「Shuanet」「Kemoge(ShiftyBug)」「Shedun(GhostPush)」の3点について、調査を進めている。これらは、米国とドイツ、イラン、ロシア、インド、ジャマイカ、スーダン、ブラジル、メキシコ、インドネシアで多く検出されている。

3種類のアドウェアファミリーの関係性

アプリの作成者については、同一人物または同一グループであるとは考えにくいが、3つのサンプルを精査した結果、相関関係が見いだせたことから、何らかの点で連携していた可能性はあるという。これらのファミリーの変異体のいくつかには、プログラミングコード内に71%~82%の類似性があり、作製者が同じコード片を用いて、それぞれの自動ルート化アドウェアを構築している。

また、共通のエクスプロイトを持っており、端末のルート化実行の部分に、一般公開されているルート化を実行するエクスプロイトを使用していた。ShiftyBugの場合には、少なくとも8種類のエクスプロイトがパッケージ化されており、できるだけ多くのタイプの端末をルート化できるよう工夫されている。エクスプロイトは新しいものではなく、多くが既知のルートイネーブラで使用されている。

アドウェアは、ルート化したシステムアプリケーションであるため、個人ユーザーが感染した場合は、アンインストールがほぼ不可能となっている。企業ユーザーの場合には、ルート化された端末をネットワーク上で使用すると大きなリスクが伴う。ルート化されたアプリは、権限昇格することで、通常はアクセスを認められていないデータにアクセス可能となる恐れがある。

Lookoutは、今後トロイの木馬化したアドウェアが巧妙化していくと予想しており、「攻撃者は、端末のシステムディレクトリでの読み込み権限または書き込み権限を他のマルウェアに取得させた後、存在やアクティビティの痕跡を消してしまう」ことも考えられるとしている。

また、Webマーケティング業界において不当にCPI(コスト・パー・インストール)を増加させ、大きな利益を得ようとするほか、クリック・パー・インストールや広告に関する収益モデルの変化にあわせて、権限の昇格を利用し、新たな収益化を目論むマルウェアの製作者が現れる恐れもあるという。