モバイル端末のプラットフォームに感染するマルウエアの数は、目覚しい勢いで増加し続けている。OSごとにマルウエア数の割合を統計してみると図1のようになる。
とりわけAndroidに感染するマルウエアの数は増加し続けており、2011年後半には、これまでの合計でも、従来多数派だったJ2ME(Java 2 Micro Edition)向けマルウエアの数を抜いた(図1左)。図1右にある2010年8月1日~2011年10月1日に限定したマルウエア数の統計を見ると、Androidに感染するマルウエアが発見されるペースが上がっていることが分かるだろう。その増加ペースは予想以上に速く、最新のデータで2011年第4四半期だけを見ると、Android向けマルウエアがモバイル向けマルウエア全体の実に95%を占めている。
また図2は、モバイル系OS全体を感染対象とするマルウエアの数と、そのうちAndroidを感染対象とするマルウエアの数を比べたものである。大半をAndroid向けが占めており、最近のマルウエア数の増加分がほとんどAndroid向けであることが分かる。
一言でマルウエアと表現しても、アドウエア/スパイウエア、トロイの木馬、ダウンローダー、ボットネットなど種類は様々である。中にはスマートフォンに記録された重要なデータを盗み出すものもあれば、スマートフォンをボット化するものもある。以下では、これまでの各種マルウエアを振り返りつつ、今後の動向を考えてみる。
各種アプリに潜むスパイウエア
アドウエアやスパイウエアの悪意ある挙動として最も初歩的なのは、生年月日や性別、郵便番号、端末ID、GPS(全地球測位システム)による位置情報など、個人にひも付く情報を抽出するためのソフトウエアである。合法的な広告配信サービスを組み込んだアプリも、同様の仕組みで実装されている。広告配信サービスは、多くのユーザーデータを取得し、かつリモートのサーバーにそれらの情報を送付する。
個人にひも付く情報をコピーしたり外部に送信したりする機能は、「SMS replicator」や「Gone 60」といったアプリにも含まれる。これらは他のアプリが受信したすべてのSMSメッセージのコピーを転送する機能を持つ。
トロイの木馬「FakePlayer」
トロイの木馬の代表例は、通称「FakePlayer」と呼ばれるマルウエアである。2010年8月にAndroid向けマルウエアとして初めて発見された。動画再生アプリを装っているが、実際の機能は、1メッセージ当たり6ドルかかるロシアの有償SMSにメッセージを勝手に送出するものである。
FakePlayerは、不注意なユーザーにアプリをインストール・起動させるためのソーシャルエンジニアリングによく用いられる。FakePlayerのインストール時には、「メモリーカードのデータを変更・削除する」「SMSを送信する」「電話番号とIDを読み取る」といったパーミッション宣言をする。実はこれは、FakePlayerが別の新しいアプリをインストールすることを想定したもの。あらかじめ多くのパーミッションを要求している。新たにアプリをインストールした際に追加の確認をせず、自動的に各サービスへのアクセスを許可できる仕組みなっている。
ただユーザーの中には、このパーミッションを気にせずインストールしてしまうケースが少なくない。動画再生ソフトがなぜSMSを送信するパーミッションを要求するのかを考えれば、これが重要な警告であることが分かる。インストール時にこの警告を注意深く読むユーザーであれば、即座にこの警告は疑わしいものであることに気付くはずだ。
このほかFakePlayerは、初回の発見後も、種類が異なるポルノ画像再生アプリの形で何度もアップロードされた。この際、「SEO技術」(SEOは検索エンジン最適化)の悪用も観測されている。SEOは、あるキーワードでの検索に対し、検索結果の上位にリンクを表示させる手法で、他のマルウエアでも亜種を拡散させる目的で使われることがある。
ロシア カスペルスキーラボ
Global Research and Analysis Team
EEMEA 地域シニアマルウエアアナリスト
