Lookoutは7月2日、メッセージングアプリ「LINE」からデータを搾取する新たなモバイル脅威を確認したと発表した。
見つかった脅威は「AndroRATIntern」と呼ばれる監視ウェアの一種。国内のAndroid搭載のスマートフォンを標的としており、端末が感染した場合、ユーザーがLINEを起動してメッセージを開いたときに画面上のメッセージのやり取りを盗み取られる。
Androidの仕様では、セキュリティ上などの理由からアプリが他アプリからデータを取り出すことは原則禁止となっている。そのため、実際に取り出そうとすると、Androidアプリケーション・サンドボックスによってブロックされる。
AndroRATInternはOSからのブロックを防ぐために、Androidが搭載するユーザー補助機能を悪用した。ユーザー補助機能は、身体の不自由なユーザーなどが操作しやすいようにサポートするためのもので、テキスト読み上げ機能などが含まれる。ユーザー補助機能を悪用してデータを盗む手法を検出したのは今回が初めてだという。
感染経路はユーザーの直接インストール。インストール後は、ホーム画面にアイコンが表示されることはなく、ユーザーが誤ってインストールして気付かないうちに感染していたことが想定されている。LookoutによるとAndroRATInternは複数の種類があり、動画や画像を盗み取るタイプもあるという。
なお、今回の例でLINEに落ち度があるわけではなく、Lookoutも「LINEアプリケーションが他と比較して脆弱性があるわけでも、データに不正アクセスされるような欠陥があるわけでもない」とのこと。あくまで、OSの標準機能を悪用し、LINEのメッセージ取得を狙ったマルウェアとみられる。
同社日本法人の執行役社長である大須賀雅憲氏は、「AndroRATInternによるAndroidのユーザー補助機能の悪用は個人のみならず、企業におけるモバイル端末セキュリティも関わる厄介な問題を投げかけています」とコメントしており、さまざまな端末を標的にする可能性があると危険視している。
