Google Play以外のサイトからアプリの更新や追加インストールをさせる「自己更新型アプリ」によるマルウエア感染被害が相次いでいる。これを受けて米グーグルは2013年4月下旬、Google Playの開発者向けポリシーを変更して自己更新型アプリの登録を禁止した。ただ、他のマーケットでも同様の危険性がある。被害を受けないようにするには利用者側での対策が不可欠だ。

 モバイル端末向けのセキュリティソフトなどを販売する米ルックアウトは2013年4月19日、「BadNews」というマルウエアライブラリーがGoolge Play登録の32アプリに見つかり、総計で200万~900万件ダウンロードされていたと発表した。米グーグルには報告済みで当該アプリは発表時点で既に削除されているという。

 Google Playでは、登録アプリに対して2011年から「Bouncer」という仕組みでセキュリティチェックを実施している。しかしBadNewsに対してBouncerは全くの無力だった。その理由は、Google Playに登録されたアプリ自体にはマルウエアの「本体」と呼べるコードが含まれておらず、動作も通常の広告モジュールを組み込んだアプリと見掛け上ほとんど変わらないからである。そのため、パターンファイルに基づいたスキャン(静的解析)やアプリの振る舞いを調べる動的解析によっても検知できなかった。

BadNewsのマルウエア感染手順

 BadNewsによるマルウエア感染の仕組みを図1に示した。マルウエア配布者は、広告モジュールに偽装したマルウエアライブラリーを配布する。そのライブラリーを、第三者を含むアプリ開発者が、自身のアプリに組み込んでGoogle Playに登録し、それをユーザーが端末にインストールする。ここまでが第1段階の感染経路である。

図1●自己更新型アプリを生み出すマルウエアライブラリー「BadNews」
マルウエアライブラリーを組み込んだGoogle Play登録アプリをユーザーが端末にインストールすると、同アプリがユーザーにSkypeアプリなどの更新を促す画面を表示する。指示通りに更新作業をすると、危険な機能を持つマルウエアが端末にインストールされてしまう。
[画像のクリックで拡大表示]

 この段階では、インストールしたアプリは直接的な被害はそれほど与えない。多少の個人情報をマルウエア配布者が設置したC&C(Command and Control)サーバーに送信する程度だ。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら