公式Androidマーケットに登場した脅威、ルート権限を取得

2011.03.17

　3月初め、米グーグルのモバイルプラットフォーム「Android」を狙った脅威が公式のAndroidアプリケーションマーケット「Android Market」で見つかった。このためか、モバイル、特にスマートフォンのセキュリティに関するブログがよく目に付く。

　米シマンテックとロシアのカスペルスキーラボは、まさにこの、Android Marketで公開されていた不正アプリについての記事を公開している。

　まずシマンテックは、ブログで解説し、不正アプリケーションのリストを公開した。

　これまで、Android向けの不正アプリケーションは非公式のマーケットで提供されているものだった。しかし今回、マルウエア開発者は、人気の高い無償アプリケーションに悪質なコードを組み込み、端末のルート権限取得、データ収集、バックドア開放などの機能を持たせ、アプリケーション名とパブリッシャー名を変えて公式マーケットに再登録した。

　Android Marketで一連の不正アプリケーションがダウンロード可能な状態にあったのは4日間で、5万件から20万件のダウンロードが行われた。グーグルはすでに対策を講じ、Android Marketからこれらアプリケーションを削除している。

　シマンテックが特定したパブリッシャー名は「MYOURNET」「Kingmall2010」「we20090202」の3つで、登録アプリケーションは52本にのぼる。不正アプリケーションには端末のルート権限を取得するための「rageagainstthecage」というファイルが含まれ、マルウエアがユーザーの許可なしにさまざまな動作を実行できるようにしてしまう。

　一方、カスペルスキーラボが運営するセキュリティ関連情報サイト「Securelist」では、不正アプリケーションのサンプルを分析した結果が報告されている。不正アプリケーションは、端末のID番号、種類、言語や国、ユーザーIDといった情報を収集し、外部サーバーへの送信を試みる。また同社は、3つのパブリッシャーは同一人物の可能性が高いと見ている。

写真● Android Marketで公開されていた不正アプリケーションの画像

　カスペルスキーラボは、Android向けの脅威が公式マーケットに登場したことに加え、攻撃者がジェールブレイク（ロック解除）ツールを使い始めたことにも注目している。ユーザーはアプリケーションのダウンロード時に、要求されるアクセス許可の内容を十分に確認するべきだと、同社は忠告している。

Androidを狙ったトロイの木馬、Android/DRADの分析報告

　米マカフィーも、モバイル関連のブログを公開している。一つは、Android端末を狙うマルウエアの一つ、「Android/DRAD」と名付けたトロイの木馬の紹介（原文）である。

　Android/DRADは、非公式のAndroid向けアプリケーションマーケットで提供されている合法的壁紙アプリケーション「Dandelion」に、悪質なコードを組み込んだもの。Android 2.1以降で動作する。作者はそれを非公式マーケットに再アップロードし、ダウンロード可能な状態にしている。

　Android/DRADが仕込まれたアプリケーションをダウンロードすると、個人情報、通信、ストレージ、通話状況などへのアクセス許可を要求される。またAndroid/DRADは、インターネット接続のほか、SDカード内にあるコンテンツの改ざんまたは削除、アクセスポイント設定の変更などを行う可能性がある。

写真● アクセス許可を要求する画面の画像

　さらにリモートホストと連絡をとり、DESで暗号化されたデバイス情報（IMEIとIMSI）を送信する。攻撃者のサーバーから返されたURLのリストと検索文字列を受け取り、バックグラウンドでWeb検索を実行する。

写真● マルウエア実行の画面

　こうした動作から、Android/DRADはWebサイトの順位を上げるための検索エンジン最適化（SEO）を目的としたものと考えられる。また、中国通信事業者のアクセスポイントを照会した形跡があることから、主に中国のAndroidユーザーを標的にしていると、マカフィーは見ている。

記述は1度、動作はどこでも――モバイルマルウエア

　これとは別にマカフィーは、モバイルデバイス向けのマルウエア開発の動きもブログで紹介している。ネットバンキング用のキー入力や画面情報を盗み出す悪質ソフト「ZeuS」（厳密にはZbot）に関する話題である。

　Zbotは当初、Windows搭載パソコンだけがターゲットだった。ところが最近は、標的がモバイルデバイスにまで広がっている。実際、ウイルス/マルウエアの作者は、Symbian、Windows Mobileなど複数のプラットフォームを狙ってマルウエア開発を進めている。

　ただ、いくつものプラットフォーム用にマルウエアを開発するのでは効率が悪い。そこでマルウエア開発者は、複数のモバイルプラットフォームに効率的に攻撃を仕掛ける方法として、仮想マシン向けにコーディングしてくる可能性があると、マカフィーは指摘している。仮想マシン向けにすれば、デバイスごとにコードを書き直す必要はなくなるからだ。1度の記述で多種多様な携帯端末やOSにマルウエア攻撃を仕掛けることができる。

　同ブログの著者は根拠として、J2ME対応携帯電話向けのトロイの木馬を例に挙げる。これまでマカフィーが検出したJ2ME向けトロイの木馬は20種以上のファミリー、合計100種以上の亜種にのぼるという。

　マカフィーでは、Android端末が普及するのに伴い、マルウエア作成者はAndroidの仮想マシン「Dalvik VM」に目を向け始めたと見ている。Dalvik VMをターゲットしたマルウエアは、すぐに増加するだろうという。非Android搭載機でAndroidアプリケーションを稼働できる仮想マシン「Alien Dalvik」がスイスのミリアド・グループからリリースされたことも、こうした動きに拍車をかけそうだ。