今回はまず、Android向けのマルウエアに関するブログを紹介する。トレンドマイクロは、2012年7月以降にユーザー環境で4282件の感染を確認している「ANDROIDOS_KSAPP」マルウエアについて、ブログで説明している。
同社が分析したサンプルは、一部の非公式アプリケーションストアで配信されていたものだが、他の複数のサイトでも配信されている疑いがある。一般的に、この種のアプリケーションはゲームアプリケーションとして売り出される。中には人気ゲームタイトルを再パッケージしたものもある。
最初に分析した複数のサンプルは、同じゲームタイトルをもとにした再パッケージだった。これら不正アプリケーションはいったんデバイスにインストールされると、以下のリモートサイトとやり取りし、圧縮スクリプトを受け取って、プログラムで扱える状態に変換(パース)する。
ダウンロードしたスクリプトをパースすることにより、KSAPPは新たな機能を装備できる。このため、Android端末で見つかる多くのボットネット関連マルウエアよりも、高度で複雑なものになる。
スクリプトのリモートアップデート
また上図のハイライトで示すように、KSAPPはウイルス対策ソフト製品による検出を回避するために、実行中のスクリプトをアップデートし、自身の新しい亜種をダウンロードする。
リモートスクリプトにはカスタム化した命令が格納されており、リモートの攻撃者が感染デバイス上で実行することが可能だ。たとえば下図のようにテストコール機能を実行できる。
テストコール機能のコード
リモートスクリプトをパースすると、Javaオブジェクト(変数や関数など)をインスタンス化できるようになり、動的なリモートコードをローカルデバイス上で実行できる。そうなると、別の考え得る不正ファイルのダウンロードに進む可能性がある。不正ファイルをユーザーにインストールさせるために、アプリケーションは通知バーやポップアップウインドウを表示する。誘導されるままにファイルをダウンロードするユーザーは、自分の端末をさらなるマルウエア感染の危険にさらすことになる。
トレンドマイクロがまとめた2012年のセキュリティ総括によれば、Android向けマルウエアの検出は2011年の1000件ほどから35万件に急増した。この増加ペースはパソコン向けマルウエアより速い。この傾向が続けば、不正または高リスクのAndroid向けアプリケーションは今年100万件に達すると、トレンドマイクロは予測している。
