Bleeping Computerは8月4日(米国時間)、「Google explains how Android malware slips onto Google Play Store」において、GoogleがGoogle PlayストアにAndroidマルウェアを侵入させる方法について説明したと伝えた。
Bleeping Computerは、Google Cloudセキュリティチームは脅威者がGoogle Playストアの審査プロセスやセキュリティ制御を回避してAndroid端末にマルウェアを侵入させるために使用する、「バージョニング」と呼ばれる手法の存在を認めたと説明している。
Googleによるとバージョニングと呼ばれるこの手法は、すでにインストールされている正常なアプリのアップデートを通じて悪意のあるペイロードを導入するか、またはダイナミックコードローディング(DCL: Dynamic Code Loading)と呼ばれる方法で脅威アクタの管理下にあるサーバから悪意のあるコードをロードする。これにより、脅威者はGoogle Playストアの静的解析チェックを回避できるという。
GoogleはGoogle Playストアに登録するために提出されたすべてのアプリとそのパッチは、厳格な「有害な可能性があるアプリ(PHA: Potentially Harmful Application)の審査」が行われると述べているが、ダイナミックコードローディングを通じてこれら制御の一部をバイパスできてしまうとしている。
本稿執筆時点では、この脅威の防御策は示されていないが、リスクを軽減するために信頼のおける開発者のアプリのみを導入し、それ以外は導入しないか慎重に検討することが望まれる。
