モバイル脅威の作成者はますます戦略的かつ大胆になっている。マルウエア感染の手口は複雑さを増し、単にアンインストールするだけでは対処できないところまで来た。こうした状況について、米シマンテックが分析した内容をブログで公開した。2011年に入って、モバイル脅威の傾向に大きな変動が起きているという分析だ。
作成者の戦略の一つは、不正なパッケージを段階的なペイロードに分ける方法だという。悪意のあるコードをすべて一つのペイロードに仕込む代わりに、複数のモジュールに脅威を分割して個別に配信する。こうすることで、インストールに伴うパーミッション要求が注意を引くほど膨大な数に上ることを回避する。また、細かく分割することにより、隠ぺいやほかのアプリケーションへの埋め込みが容易になる。個々のアプリケーションに攻撃を分散させることで、サービスプロバイダーやマーケットプレイスが統合的に脅威を取り除くことも困難になる。
複数ペイロード分轄の概念図
典型的な例として、シマンテックは最近発見された「Android.Lightdd」の亜種を挙げている。バックグラウンドで動作するサービス名が「Game Services」である点や、接続を試みるドメイン名が新たに三つある点などを除いて、ほとんど6月に見つかったサンプルと変わらない。
第1段階となるペイロード配信の脅威は、端末のモデル、言語、国、端末識別番号、加入者識別番号、OSバージョンなどの情報を端末上で探して収集する。その後、追加のペイロードをダウンロードする。興味深いことに、この脅威は追加のコンポーネントをインターネット経由で直接ダウンロードするほか、公式の配信経路でもアップデートするのだという。
第1段階の動作の概念図
以前の亜種を含め、Android.Lightddではユーザーが許可しなければインストールは実行されない。このペイロードの配信モデルはマルウエアにとって大きな障害だが、この障害を克服したマルウエア「Android.Jsmshider」がユーザー環境で見つかった。
Android.Jsmshiderはオープンソースプロジェクト「Android Open Source Project」(AOSP)の認証を使ってペイロードに署名するため、端末はペイロードをシステムアップデートだと認識してしまい、ユーザーの操作を必要とせずに追加のダウンロードを実行する。しかし現時点では、この手口はカスタムな変更にしか使えない。
Android.Jsmshiderの説明図
この脅威の巧妙なインストール手法を考えると、最終的なペイロードが「Stuxnet」ワームに似たものになると考える人もいるかもしれない。しかしほとんどのケースでは、最終的ペイロードはありふれた高額SMS発信に過ぎない。
高額SMS発信やダイアラーは、精巧さに欠けているためアンチウイルス研究者からはあまり重視されていないが、作成者にとっては最も手っ取り早く投資収益率(ROI)を上げることができる。発見された最新のダイアラーは北米をターゲットにしたもので、インストールと実行に成功するたびに、作成者は9.99ドルを手にすることになる。さらに、ユーザーが気付かなければ実行するごとに収益が積み重なり、端末の所有者が次回の携帯電話請求書を目にするまで、これが続くことになる。
また、ほかのアプリケーションのプロモーション使用やダウンロードを促すアプリ内機能を使う傾向にある点も興味深い。一部のケースでは、別のアプリストアへのアクセス機能として搭載されていた。これはユーザーが公式のマーケットプレイスからダウンロードしたアプリケーションに埋め込まれていた隠し機能で、ユーザーが気付かないうちに、ほかのWebサイトやアプリマーケットからアプリケーションを閲覧したりダウンロードしたりする。インストールにはユーザーの操作が必要になるが、最初のアプリケーションが公式な経路からダウンロードされたものであるため、追加のアプリケーションも同様に公式に配信されているものだとユーザーが思いこむ可能性がある。
