米シマンテックは、ランサムウエアのソーシャルエンジニアリング手口を使う、新しいAndroid向け偽アンチウイルスソフトウエアを配信している不正なドメインを確認した。シマンテックは新たな不正アプリケーションを「Android.Fakedefender.B」として検出し、ブログで概要を報告した。同社はさまざまな手がかりから、6月に発見したAndroid向けランサムウエア「Android.Fakedefender」と作成者が同じか、あるいは何らかの関係があると確信している。
Android.Fakedefender.Bは、前バージョンとはデザインも支払い方法も異なるが、パッケージファイルに同じ画像が含まれている。両アプリケーションともロシアのモバイルユーザーをターゲットにしている。
Android.Fakedefender.Bの感染経路は未確認だが、不正なドメインへのリンクを掲載したスパムメッセージが使われていると、シマンテックは見ている。
今回登録が見つかった不正アプリケーション
Android.Fakedefender.Bはアダルトビデオサイトの公式アプリケーションを偽装する。このソーシャルエンジニアリングに引っかかってアプリケーションをインストールするユーザーは、Android端末を人質に取られてしまう。
インストールすると、アプリケーションのフル機能にアクセスする前にアンチウイルススキャンを実行するよう警告が表示される。
前バージョンは「Android Defender」アプリケーションに見せかけていたが、今回は「Avast」の警告を装う。スキャンが終わると、端末が複数の脅威に感染しているかのようにスキャン結果を表示し、セキュリティ保護のために端末をロックしたと通知する。
Android.Fakedefender.Bは、身代金の支払い方法として「MoneyPak」を指定し、デバイスをロック会場するために100ドルを要求する。前バージョンは、クレジットカード番号を教えるよう指示していた。
身代金を支払わせるAndroid.Fakedefender.Bの手口
現在のところ、Android.FakeDefender.Bは感染の除去を妨げる対策は何も備えていない。そのため、Androidデバイスのアプリケーション管理機能を使って、ユーザーの手でアンインストールできる。
Firefox OSのセキュリティを精査する
トレンドマイクロは、米モジラのモバイルOS「Firefox OS」の安全性について精査した。それによると、全体的に見てFirefox OSは優れたアプリケーションパーミッション管理を備えているが、コアプロセスが攻撃の標的になる恐れがある。さらに、HTML5機能が潜在的脆弱性の原因になり得るとする見解を、同社はブログで示している。
Firefox OSはLinuxカーネルを使用し、Geckoベースのランタイムエンジンで起動する。ユーザーはFirefox OS上で、HTMLやJavaScript、その他のオープンなWebテクノロジーだけで開発したアプリケーションを走らせることができる。
Firefox OSのアーキテクチャ
Firefox OSはWebベースのアプリケーションと下層のハードウエアを結びつける必要があり、以下のような階層から成る統合技術スタックを使用する。
Firefox OSの統合技術スタック
「Gonk」は Linux カーネル、システムライブラリー、ファームウエア、デバイスドライバーで構成される。「Gecko」はアプリケーションランタイム層で、アプリケーション実行のためのフレームワークを提供したり、モバイルデバイスの機能にアクセスするためのWeb APIを実装したりする。「Gaia」はHTML5、CSS、JavaScript、画像、メディアなどで構成されるアプリケーション群で、ユーザ体験を作り上げる。
Gecko層は、Gaia層のWebアプリケーションと端末を仲介する役割を果たし、パーミッションの遵守や承認されていないアクセス要求の遮断を担う。
アプリケーションのセキュリティ
Firefox OSは独自のアプリケーション層設計を備え、アプリケーションにはWeb、特権、認定の3種類がある。Webアプリケーションは、どのWebサイトからもインストール可能のもので、すでにWebサイトで公開されている以上のパーミッションは与えられない。特権アプリケーションは、アプリストアなどマーケットプレイスの証明あるいは署名を付与され、より多くのパーミッションを要求できる。認定アプリケーションは最も多くのパーミッションを認められ、メーカーがデバイスにプリインストールできる。
サンドボックス
Firefox OSは強力なサンドボックス機能を備え、各アプリケーションは自身の空間でのみ稼働し、Web APIをはじめ、許可されているデータ、および稼働スペースに関連するデータベースやクッキーなどのリソースにしかアクセスできない。また、B2Gプロセスとはやりとりできるが、他のプロセスやアプリケーションとのやりとりは禁じられている。
B2Gプロセスの利用
B2Gプロセス
Firefox OSの中核であるB2GプロセスはGecko層の中にあり、高い権限を持つ。アプリケーションからデバイスに対するすべての要求は、まずB2Gプロセスを通る必要があり、B2Gはアプリケーションのパーミッションを確認する。B2Gプロセスが攻撃されると、攻撃者はルートアクセスなどの高い権限を獲得できてしまう。
8月に、任意のコードの実行を許す脆弱性が「Firefox 17」で見つかった。トレンドマイクロは、この脆弱性がB2Gプロセスのクラッシュを招く恐れがあるほか、命令ポインターの制御を可能にすることを確認している。これは、攻撃者がB2Gプロセスの権限で任意のコードを実行できることを意味する。
HTML5の脆弱性
Firefox OS向けアプリケーションはHTML5を使用して構築されるため、将来、Firefox OSの攻撃にHTML5の脆弱性が使用される可能性があると、トレンドマイクロは指摘している。ある調査によれば、「Uint8ClampedArray」コマンドなどのHTML5機能を使うことでメモリーに大量の書き込みをしてヒープスプレーを実行できるという。
これらのことからトレンドマイクロは、Firefox OSも他のモバイルOSと同様に、攻撃に直面すると確信している。中でもB2Gが攻撃されれば被害は甚大だと、同社は案じている。
