今回は「ANDROIDOS_GEINIMI. A」を取り上げる。名前に「ANDROIDOS」とあるように、Googleが提供するAndroid OSが搭載されたスマートフォンなどの端末で動作する不正プログラムである。Android端末で動作する不正プログラムは、高額の請求が発生する電話番号へテキストメッセージを勝手に送信する「ANDROIDOS_DROIDSMS.A」や「ANDROIDOS_FAKEMOBI.B」、ユーザーの位置情報を無断収集する「ANDROIDOS_DROISNAKE.A」などが既に確認されている。これら従来のAndroidを対象とした不正プログラムと比較して特筆すべき点は、ボットとして動作することだ。
この「ANDROIDOS_GEINIMI. A」は、Androidに感染する最初のボットとしてトレンドマイクロが確認した不正プログラムである。Androidで動作するボットが確認されたことは、日本においても普及が本格化してきたAndroid端末にとって、不正プログラムの脅威が本格化しつつあることを示している。「ANDROIDOS_GEINIMI.A」の動作については既にウイルス情報として公開しているが、今回は実際に動作させることで、Android端末における不正プログラムの脅威をひも解いてみたい。
海賊版アプリケーションのダウンロードによって侵入
早速「ANDROIDOS_GEINIMI.A」を動かしてみよう。そもそも「ANDROIDOS_GEINIMI.A」はどのようにしてスマートフォンなどにインストールされてしまうのだろうか。これまでの調査によれば、正規のアプリケーションに混入する形で複数のアプリケーションに含まれて公開されていることが確認されている。公開されている場所は、Googleが提供している公式サイト「Androidマーケット」ではなくいわゆる「非公式サイト」、つまりAndroidマーケットで提供されている有料アプリケーションなどを勝手に二次配布しているようなサイトだ。
このようなサイトからいわゆる海賊版アプリケーションがダウンロードされ利用されていることに目を付けた攻撃者が、正規に公開されているアプリケーションに不正プログラムを混入して公開しておき、ダウンロードする利用者が現れるのを待っているのである(画面1)。「ANDROIDOS_GEINIMI.A」には自身を勝手にコピーして感染を広めるワーム活動は存在しないことから、「ANDROIDOS_GEINIMI.A」の感染被害者のほとんどは勝手サイトから海賊版アプリケーションを自身でダウンロードしてインストールした人であるとみられる。
