米グーグルが2012年2月に導入したAndroidアプリケーションのマルウエア対策機能「Bouncer」(開発コード名)は回避可能――。こんな、セキュリティ研究者のレポートをトレンドマイクロが紹介した。
Bouncerは独自の評価エンジンとクラウドインフラを使って、「Android Market」(現Google Play)で新規に公開されるアプリケーションと既に公開されているアプリケーション、および開発者アカウントを自動スキャンする。グーグルによれば、Google Playから削除された不正アプリケーションのうち40%はBouncerの検出によるものだという。
レポートを書いたセキュリティ研究者は、Bouncer回避を実証するため、シェルコードを埋め込んだAndroidアプリケーションの登録を申請した。シェルコードは、アプリケーションの分析が行われている間、Bouncerに探りを入れ、調べた内容を研究者に通知する。こうして研究者はBouncerのランタイム環境について詳しい情報を入手する。
Bouncerについて分かったことは、使用するシミュレーターがハードウエアをエミュレートする「QUME」タイプであること、一つの申請アプリケーションにつき5分しかチェックしないこと、などだ。また、動的分析しか行わないので、Bouncer環境内で不審な動きを見せたアプリケーション以外はチェックに引っかからない。テスト中のアプリケーションがインターネットにアクセスする時に、Bouncerに割り当てられたIPアドレスの範囲が公開される可能性があることも判明した。
Bouncerを回避できるとなると、不正なAndroidアプリケーションが正当なアプリケーションを装ってグーグルのセキュリティをかいくぐり、Google Playを介してユーザーのデバイスに到達することが可能になる。
トレンドマイクロは想定される攻撃シナリオとして、時間差攻撃とアップデート攻撃を挙げた。時間差攻撃は、不正なペイロードを含むアプリケーションがBouncerによる分析の間は無害なふりをし、ユーザーのデバイスにインストールされると不正コードを実行する。アップデート攻撃では、最初のインストーラーに不正コードは含まれず、Bouncerの検出をすり抜けてアプリケーションがデバイスにインストールされる際に、追加の不正コードをダウンロードして実行するか、リモートのマルウエア制御(C&C)サーバーに接続して盗んだデータを送信したり、追加のコマンドを受け取ったりする。
実際、トレンドマイクロは今月、アップデート攻撃の手口を使ってBouncerをかわし、Google Playで2週間公開されていた不正アプリケーションを2件確認した。
グーグルは、研究者からの報告を受け、Bouncerの一部特徴を変更したとされている。しかし現在のマルウエアは急速に進化しており、マルウエア開発者は常にセキュリティチェックを回避する新しい方法を見つけ出している。
トレンドマイクロはAndroidユーザーに対し、アプリケーションをダウンロード、インストールする際は、それが公式ストアであろうと、セキュリティ侵害の危険性があることを常に意識すべきだと注意を促している。
