Google Play以外のサイトからアプリの更新や追加インストールをさせる「自己更新型アプリ」によるマルウエア感染被害が相次いでいる。これを受けて米グーグルは2013年4月下旬、Google Playの開発者向けポリシーを変更して自己更新型アプリの登録を禁止した。ただ、他のマーケットでも同様の危険性がある。被害を受けないようにするには利用者側での対策が不可欠だ。
モバイル端末向けのセキュリティソフトなどを販売する米ルックアウトは2013年4月19日、「BadNews」というマルウエアライブラリーがGoolge Play登録の32アプリに見つかり、総計で200万~900万件ダウンロードされていたと発表した。米グーグルには報告済みで当該アプリは発表時点で既に削除されているという。
Google Playでは、登録アプリに対して2011年から「Bouncer」という仕組みでセキュリティチェックを実施している。しかしBadNewsに対してBouncerは全くの無力だった。その理由は、Google Playに登録されたアプリ自体にはマルウエアの「本体」と呼べるコードが含まれておらず、動作も通常の広告モジュールを組み込んだアプリと見掛け上ほとんど変わらないからである。そのため、パターンファイルに基づいたスキャン(静的解析)やアプリの振る舞いを調べる動的解析によっても検知できなかった。
BadNewsのマルウエア感染手順
BadNewsによるマルウエア感染の仕組みを図1に示した。マルウエア配布者は、広告モジュールに偽装したマルウエアライブラリーを配布する。そのライブラリーを、第三者を含むアプリ開発者が、自身のアプリに組み込んでGoogle Playに登録し、それをユーザーが端末にインストールする。ここまでが第1段階の感染経路である。
この段階では、インストールしたアプリは直接的な被害はそれほど与えない。多少の個人情報をマルウエア配布者が設置したC&C(Command and Control)サーバーに送信する程度だ。
