The Hacker Newsは3月27日(米国時間)、「Watch Out! That Android System Update May Contain A Powerful Spyware」において、Android端末を狙った新しいタイプのスパイウェアが発見されたと伝えた。Androidを狙った一般的なタイプのマルウェアは、正規のソフトウェアを装った偽のアプリとしてデバイスに侵入し、情報の盗み出しなどといった攻撃を行うものが多い。しかし今回報告されたマルウェアは、システムアップデート・アプリケーションを装ってデバイスに潜み、悪意のある活動を行うという。

このスパイウェアは、侵入に成功すると外部のコマンドアンドコントロール(C2)サーバから受信したコマンドによって情報の盗み出しを行う。具体的には、連絡先やブラウザのブックマーク、検索履歴、メッセージなどの盗み出しや、音声や電話の録音、カメラを使った写真撮影などの機能を持っている。デバイスの位置情報の追跡や特定の拡張子を持つファイルの検索、クリップボードからのデータの取得なども可能とのこと。

C2サーバからのコマンドの受信にはFirebaseメッセージングサービスが利用される。「Searching for update..」という通知が表示された場合、それは正規のシステムアップデートではなくスパイウェアによるコマンド受信時のアクションの可能性があるという。

Firebaseが使われるのはコマンドの受信だけで、盗んだデータについては暗号化されたZIPファイルの形式でPOSTリクエストを使用してC2サーバに送信される。データの送信に成功したあとは、使用したZIPファイルは自動で削除される。その他にも無数の隠蔽機能を備えている。

現在のところ、この偽のシステムアップデートアプリはサードパーティによるアプリストアで配布されており、公式のGooglePlayストアを使った配布は確認されていないという。被害を予防するには、自分の端末にインストールされたアプリの挙動を監視するだけでなく、サードパーティのアプリストアの利用を避けるといった基本的な対策もいま一度確認する必要があるだろう。