いまや多くの企業にとって、Androidセキュリティは最も注目度の高い話題の一つである。ブログにも、Android関連の記事がいくつかあったので紹介しよう。

 フィンランドのエフセキュアは、モバイルプラットフォーム「Android」を狙った新たなマルウエアをブログで報告した。公式のAndroid向けアプリケーションストア「Android Market」で怪しいアプリケーションが複数検出された。その後問題のアプリケーションはAndroid Marketから削除されたが、エフセキュアはそれらがほかのアプリケーションストアやフォーラムで無償アプリケーションとして紹介されているのを見かけるという。

 これらのアプリケーションは単なるゲームのように見えるものの、余計な機能が追加されている。初期バージョンではインストール時に要求されるパーミッションはインターネット接続のみだったが、新たなバージョンではインターネットの利用に加えて、電話状態の読み込みについても許可を求めてくる。

インストール時にパーミッションを求める画面

 これによりアプリケーションは、通信事業者、国、識別番号、メールアドレス、電話番号など端末に関する様々な情報にアクセスできる。これらの情報は、外部のサーバーに送信される。

 またアプリケーションには小さいアイコンがあり、それをクリックすると、おそらくユーザーが試したいと思うであろう別のアプリケーションに誘導する。これらアプリケーションも、同様の疑わしい挙動を見せる。

誘導されたアプリケーション一覧

 興味深いことに、初期の‘取るに足りない’バージョンと最近の“疑わしい”バージョンは同一の開発者によるものと見られる。無関係な悪意あるルーチンが埋め込まれて、リパッケージされたものではなく、既存のアプリケーションに後から新たな動作を追加したもののようだ。エフセキュアは観測された動作に基づいて、これらアプリケーションをスパイウエア「Spyware:Android/SndApps.A」として検出している。

 エフセキュアはこれを、Androidアプリケーション開発の、特に「グレイウエア」の発展として注目している。同社は以前、世間に認められた開発者がユーザーのプライバシーを侵害するかもしれない疑わしい/無用な/非倫理的な動作を含むアップデートをリリースする可能性を予測していたが、それを裏付けるものだとしている。

 追加される動作には、マーケティング広告やスパムなど、別の目的に使われるユーザー情報の取得も含まれる。最悪の場合、詳細なユーザー情報が第三者に売り渡されることもある。

Android版Zitmo、ついに登場

 次は、とうとう「Android」をターゲットにしたZitmo(ZeuS-in-the-Mobile)が登場した。ロシアのカスペルスキーラボがブログで解説している。Zitmoは、大規模ボットネット「ZeuS」を用いたモバイル脅威だ。

 Zitmoが最初に検出されたのは2010年9月の終わり頃だった。まず「Symbian」搭載機が狙われ、続いて「Windows Mobile」向け、「BlackBerry」向けが現れた。そして今回のAndroid版。Android版Zitmoはこれまでのバージョンとは大きく異なるという。

 Symbian、Windows Mobile、Blackberry版Zitmoの機能とロジックは同じで、C&C(ボットネット制御)サーバーの電話番号、SMSコマンド、特定番号からのSMS転送機能、C&C切り替え機能を備えている。

 Android版Zitmoの機能とロジックはもっと原始的だと、カスペルスキーラボは指摘する。APKファイル自体のサイズは19kバイトで、「Trusteer」という会社のセキュリティツールに見せかけている。ユーザーがその不正アプリケーションをインストールすると「Trusteer Rapport」アイコンがメインメニューに現れる。

メイン画面に表示されたアイコン

 アイコンをクリックすると、「銀行サイトで以下のアクティベーションキーを入力すること」というメッセージと数字が表示される。

アイコンをクリックした後の画面

 仕組みとしては、すべての受信SMSメッセージを、f0={SMS_sender_number}&b0={SMS_text}&pid={infected_device_ID}というフォーマットでリモートサーバーに送信する機能だけで成り立っている。Android版Zitmoを使った最初の攻撃は6月初旬に始まったとみられるが、実際にAndroid端末に感染する方法は従来と変わらない。モバイル向けセキュリティツールを装い、ユーザーにAndroid端末から専用サイトにアクセスしてインストールするよう促す。また攻撃者は不正アプリケーションを「TrustMobile」という名でAndroid向けアプリケーションストア「Android Market」でも公開していたが、現在そのアプリケーションは削除されている。