今回報告されたアプリが表示する更新画面例(エフセキュアの情報から引用)
今回報告されたアプリが表示する更新画面例(エフセキュアの情報から引用)
[画像のクリックで拡大表示]

 フィンランドのセキュリティ企業エフセキュアは2011年10月25日、Androidを狙った新たなウイルス攻撃を確認したとして注意を呼びかけた。元々は無害のアプリが、アップデートするとウイルスに置き換わるという。

 今回報告されたアプリは、非公式のアプリ配布サイトで提供されている。このアプリは無害であり、悪質な動作はしない。

 このアプリをインストールすると、更新プログラム(アップデート用プログラム)が利用可能であることを伝えるダイアログが表示される(図)。このダイアログに従って更新プログラムをダウンロードしてインストールしようとすると、元のアプリのインストール時には表示されなかったアクセス許可を求められる。

 具体的には、SMSおよびMMSメッセージへのアクセス許可と、Android機器の位置情報へのアクセス許可が追加される。さらに、更新プログラムをインストールすることにより、アプリが置き換えられるといった警告も表示される。

 この更新プログラムの実体は、「DroidKungFu」と呼ばれるウイルスの亜種。インストールされると、Android OSの脆弱性を突いてルート権限を取得し、Android機器を乗っ取る。

 ただし、このウイルスが悪用するのはAndroid OS 2.2の脆弱性。同社の検証ではAndroid OS 2.3の機器を使ったため、ウイルスは感染の途中で停止した。

 このウイルス(DroidKungFuの亜種)自体は既知のもので、いくつかのウイルス対策ソフトメーカーは対応済み。複数のウイルス対策ソフトでウイルスチェックが可能なWebサイト「VirusTotal」で調べたところ、43種類のソフトのうち、12種類がウイルスとして検出した。エフセキュアでは、2011年8月18日に対応済みだという。

 今回のウイルス攻撃で目新しいのは、ウイルスではなく攻撃の手口である。元々は無害のアプリが、アップデートによりウイルスに置き換わる点が新しい。

 同社では、元のアプリの開発者は、ウイルス攻撃を意図していなかった可能性があるとしている。開発者のサーバーなどが不正アクセスされて、正規の更新プログラムがウイルスに置き換えられた恐れがあるとコメントしている。