2011年7月には、トロイの木馬「ZeuS-in-the-Mobile」(ZitMo)が発見された。ZeuSというのは、銀行口座や各種ログイン情報といったユーザーの情報を不正に収集するトロイの木馬型マルウエア(Zbot)を簡単に作成できるツール、またはそのツールから作られた不正プログラムである。ZitMoは、こうした不正プログラムのモバイル版だ。
ZitMoの最初のバージョンは、携帯電話のトランザクション認証番号(mTAN)を狙うもので、2010年9月に発見された。感染対象はSymbianを搭載したスマートフォンだったが、その後、Windows MobileとBlackBerryに感染するものも発見された。ただ驚いたことに、2011年7月以前はAndroidを標的としたZitMoの存在に確証がなかった。
またAndroid向けのZitMoは、Symbian、Windows Mobile、BlackBerry向けとは多くの点で異なる。これは特筆すべき点だろう。
セキュリティソフトになりすまし
Symbian、Windows Mobile、BlackBerry向けのZitMoの機能とロジックは同一である。すなわち、携帯電話番号の遠隔操作、SMSコマンド操作、特定番号からのSMS転送、遠隔操作の変更機能である。これに対してAndroid向けZitMoの機能とロジックは、もっと原始的である。APKファイル自体は19Kバイトで、「Trusteer」という企業からセキュリティソフトとして入手できる。このマルウエアをインストールすると、図1にあるような「Trusteer Rapport」というアイコンがAndroid端末に現れる。
Android向けのZitMoは単純で、着信したすべてのSMSをリモートのサーバー(http://******rifty.com/security.jsp)にアップロードする機能しか持たない。アップロードする際のフォーマットは以下である。
f0={SMS_sender_number}&b0={SMS_text}&pid={infected_device_ID}
Android向けZitMoを使った攻撃が初めて観測されたのは2011年6月初旬だろうと言われる。カスペルスキーラボでは、図2に示す入力フォームを持つZeuSの設定ファイルを観測している。これを見たユーザーが「Android」を選択し「Continue」ボタンをクリックすると、別のページにリダイレクトされ、「security tool」というアプリをダウンロードするかどうかを尋ねられる。
「Android」以外のプラットフォーム(iOS、BlackBerry、Symbian、Other)を選択した場合は、何も起こらない。言い換えれば、この攻撃は明らかに標的をAndroidに絞っている。
サイバー犯罪者はこのマルウエアを、http://*************.com/tr.apk というサイトに加え、Androidマーケットにも公開している。当該アプリは既に削除されているが、過去にAndroidマーケットに公開されたマルウエアと同様に、グーグルに承認されたすべてのプログラムに関する情報を保存しているミラーサイトがある。Android向けのZitMoの場合、2011年6月18日頃に「TrustMobile」という名称でアップロードされた。
1年足らずの間に、Androidに感染するマルウエアの可用性と複雑さは大幅に増した。単なるSMS trojanだけでなく、ボットネットに参加しデータを窃取する能力を有したマルウエアが、信頼されたサイトから配信されるようになったということである。
危険度増すダウンローダーやボット
第2回、第3回とAndroidマルウエアについて具体例を挙げて解説してきた。カスペルスキーラボでは、いわゆるダウンローダー機能を持つマルウエアの存在を示す証拠を発見している。多くの場合、権限昇格を伴う攻撃の後、ダウンローダーが第2、第3のAPKファイルをダウンロードし、インストールしようとする。このような状況においては、ユーザーはインストールが実行されることすら気付かない。もちろん、パーミッション確認を促す画面は表示されない。
ボットネットに関しては、まだ概念的な証明しかできないが、マルウエア作者は感染したモバイル端末をボットネットに参加させる意図を持っていると考えてよいだろう。DroidDreamが一つのポイントだ。DroidDreamにはダウンローダーが装備されており、root権限奪取機能もある。つまりどんなアプリでも追加インストールする機能を持っていることになる。
ロシア カスペルスキーラボ
Global Research and Analysis Team
EEMEA 地域シニアマルウエアアナリスト
