前回から引き続きAndroidのマルウェアについて解説していきます。前回から少し間が空いてしまいましたが、その間に海外を中心にさまざまなAndroidマルウェアが続出しています。今回は、そのAndroidユーザーをターゲットにした最新のマルウェアについて触れていきます。

Androidマルウェアは、ここにきてAndroid搭載スマートフォンを始めとしたハードウェアの普及と共に多様な変化を見せています。ここ1年の間に情報搾取、ランサムウェア、そしてDDoS攻撃を仕掛けるマルウェアが確認されています。

情報搾取するAndroidマルウェア

第2回でも触れましたが、日本のユーザーをターゲットにした「Bebloh」「Ursnif」と呼ばれる情報搾取型マルウェアがWindows端末から相次いで確認されています。海外に視線を向けると数多くの国で情報搾取型のAndroidマルウェアが非常に多く発生しています。

2016年3月にESET社が発表したレポート「Welivesecurity:Android banking trojan masquerades as Flash Player and bypasses 2FA」では、海外の20ものモバイルバンキングアプリから、IDやパスワードといったクレデンシャル情報を窃取するものがありました。このマルウェアは、Flash Player装ったアプリをインストールさせると、偽のモバイルバンキングのログイン画面を表示し、ユーザーに入力させます。また、SMSベースによる二要素認証を導入していても、SMSテキストメッセージを傍受する機能で突破していました。

Welivesecurity「Android banking trojan masquerades as Flash Player and bypasses 2FA」より

ここで紹介した情報搾取型マルウェアは海外のものですが、もし日本向けのものが作られたら決して他人事ではありません。国内でも大手銀行やクレジットカード会社からさまざまなサービスに対応できるアプリが配信されており、実際に利用されている方も多くいらっしゃると思います。こうした攻撃もあるという認識の上注意が必要です。

ランサムウェアでWannaCry模倣したものも現れる

5月中旬に世界中に感染を広げた「WannaCry」ランサムウェアは、国内でも各報道が大きく取り上げるほど話題となりましたが、7月には早速この「WannaCry」ランサムウェアを模倣し、Androidマルウェアとして確認される事案がありました。

このランサムウェアは中国で確認されたものですが、以下のように画面を模倣しつつもファイルの暗号化と身代金要求も行われております。

「WannaCry」ランサムウェアを模倣するAndroidマルウェア

ここで注目してほしいのが、マルウェア発症前と後でアイコンに変化があることです。これは何を意味するのかは、次の章で説明します。

このように攻撃者の成功事例をそのまま応用するという動きはいまも活発です。さらに、マルウェアの変化で見るとプラットフォームも広がり多様化してきています。

また、このランサムウェアのプログラムサイズは、2MB弱と小さく、Android搭載のスマートフォンやタブレットだけではなく、さまざまなIoT機器もターゲットになり得る状況に進行してきていると言えます。

DDoS攻撃を狙った「WireX」ボットネットが約300種のアプリから見つかる

2017年8月には、Google Playで配信されている約300種のアプリが一斉に削除されました。これらのアプリには、「WireX」と呼ばれるボットネットが仕掛けられており、狙いはDDoS攻撃でした。これを知らずにインストールされていたデバイスは7万台以上に及んだと報じられています(Welivesecurity「Google removes 300 Android apps following DDoS attack」より)。

このマルウェアが含まれる、アプリを起動した場合は、いかにも目的のアプリが使えているように見えますが、実は背後でDDoS攻撃を仕掛けるボットに変貌しており、インストールしたデバイスは利用者も気づかないままDDoS攻撃に加担する仕組みとなっていました。

DDoSボット「Android/Clicker.R」に感染した場合の主な流れ一例

8月に不正通信に気づいた大手CDN(コンテンツ配信ネットワーク)各社は、その後の調査で最初に確認されたアプリには、不正な動きがなかったと説明しています。つまり、後から変貌したことを意味するわけで、アプリの変化を追跡しなければならない状況となりました。

前回も説明しましたが、Google Playで安心・安全なアプリをインストールするには、どういう情報を見て判断すれば良いかは難しい面があります。では、メーカー情報以外から参考になるものはないのでしょうか。

今回のケースでは、ユーザーのレビューやコメントで、特に否定的なものに注目し、かつ「インストールしたアプリのアイコンや名前の変化に要注意」と、この「WireX」ボットを確認したルカシュ・ステファンコ氏は説明しています。

しかし、正規メーカーより配信されているアプリについて見てみると、「インストールしたアプリのアイコンや名前」を変更するアプリも見受けられます。そのほとんどは、バージョンアップに伴いアイコンを変えているものや、メーカー側のサービス内容の変更等に伴い、名前が変わるケースがあります。

「アプリ」の変化で注意すべきこと

今回は、偽アプリを通じて、マルウェアに感染してしまう事案やそこからアプリに変化が起きているケースを説明しました。もし、実際にアプリの変化に遭遇した場合は、こうした事案をふまえ、メーカー正規によるものかどうかを確認する必要があります。

また、こうした偽アプリに遭遇しないためにもセキュリティソフトを活用し、同じ被害に遭わないよう心がけるべきです。

Androidアプリの開発をされている方は、開発中のアプリに名前やアイコンの変化が必要な場合ももちろん出てくるでしょう。その場合は、ユーザーにその旨を案内し、ユーザーが安心して利用いただける状況を作り出すことも大切です。

著者紹介


石川 堤一 (いしかわ ていいち)
キヤノンITソリューションズ 基盤セキュリティ企画センター マルウェアラボ マネージャー シニアセキュリティリサーチャー

約20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。

現在はこれまでの経験を活かして、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動や、キヤノンITソリューションズ運営の、より安全なインターネット活用のためのセキュリティ情報を提供する「マルウェア情報局」の記事執筆をするほか、マルウェア解析サービスのマネージャーとしても活動中。