今回はまず、最近危険度が増している攻撃手法についての話題を紹介する。米マカフィーは、進化するモバイルマルウエア「Android.FakeInstaller」の機能について、ブログで説明し、注意喚起した。

 Android.FakeInstallerは最も流行しているモバイルマルウエアの1つで、マカフィーが処理するAndroid向けマルウエアの60%以上を占めている。この脅威は、サーバーサイドポリモーフィズム、難読化、アンチリバースエンジニアリング、再コンパイルなど、ウイルス対策ソフトによる検出をすり抜ける機能を追加し、ますます危険性を増している。

 自身を「Skype」や「Flash Player」「Opera」などよく知られているアプリケーションのインストーラーに見せかけてユーザーを欺き、ユーザーの許可なしに高額SMSメッセージを送信する。多数の亜種が存在し、数百のWebサイトや海賊版マーケットで配信されている。

正規のインストーラーに見せかけたアイコン各種

 ユーザーを欺く行為は、そのユーザーが検索エンジンやSNSで有名なアプリケーションを検索したときに始まる。ユーザーが検索結果から誘導された偽の公式サイトあるいはマーケットには、スクリーンショットや説明、ユーザーレビュー、ビデオなどが掲載され、アプリケーションは正当なものに見える。ユーザーはこれに騙され、マルウエアをダウンロードしてインストールしてしまう。

 インストールの最中、ユーザーは「同意する」または「次へ進む」ボタンをクリックするよう促され、クリックすると高額SMSメッセージが送信される。ユーザーがボタンをクリックする前にメッセージ送信する亜種もある。

マルウエアが表示するサービス契約説明

サーバーサイドポリモーフィズム

 マカフィーは、メインのペイロードは共通だがコード実装が異なるいくつかの亜種を確認している。ほとんどのAndroid.FakeInstallersはサーバーサイドポリモーフィズムの手法をとっており、サーバーは同じURL要求に対して異なるAPKファイルを配信できる。

 被害ユーザーが偽マーケットからアプリケーションを要求するとサーバーはブラウザーを別のサーバーにリダイレクトし、そこでリクエストを処理してカスタムなAPKファイルを送信する。

サーバーがカスタムなAPKを送る仕組み

高額SMSメッセージ

 初期バージョンのSMS番号はDEXファイル内に格納されていたが、最近のバージョンはAPK内の暗号化されたXMLファイルに収められている。マカフィーは、最大7通の高額SMSメッセージを送信するサンプルを確認している。

検出を免れる手口:Java難読化と再コンパイル

 通常、1つの偽マーケットでは、すべてのアプリケーションは共通のDEXファイルを含んでいるが、しばらくするとDEXファイルは全部変わる。マルウエア作成者は、同じコードを再コンパイルした難読化コードを追加してDEXファイルを変更し、新しい機能を実装したり、アイコンなどのうわべを変えたりする。

複数アプリケーションが共通DEXファイルを持っているイメージ

 Android.FakeInstallersの最近の亜種はほとんど、同じソースコードを再コンパイルして難読化した異なるバージョンと、変更したソースファイル名、回線番号、フィールド名、メソッド名、引数名、変数名などを含んでいる。

ボットネット機能

 Android.FakeInstallerには、SMSメッセージを送信するだけでなく、バックドアを開いて遠隔サーバーから命令を受け取る機能を持つ亜種もある。

配信の手口

 そのほかに考慮すべきことは、新しい偽サイトや偽マーケットが毎日作り出されていることだと、マカフィーは指摘する。これら偽サイトは被害ユーザーを一連のIPアドレスとドメインにリダイレクトしてマルウエアをダウンロードさせる。

被害ユーザーをマルウエアダウンロードのIPアドレスとドメインに誘導するイメージ

 偽サイトの一部は「Yandex」などの検索エンジンにインデックスされ、まったく本物らしく見えるため、ユーザーは簡単に信じ込んでしまう。またマカフィーは、「Facebook」で偽装登録されたプロフィールや「Twitter」のボットアカウントで偽サイトのURLが共有されているのも確認している。

Twitterに掲載された偽サイトURLの例

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら