2014年に登場した「Ghost Push」というマルウエアの変種が今も猛威を振るっている。「Gooligan」と名付けられた変種によって、2016年11月末までに100万件以上のグーグルアカウントが被害を受け、被害デバイスは現在も1日1万3000台のペースで増えているという。同マルウエアの概要や危険性、対策などについて紹介する。
イスラエルのチェックポイントソフトウェアテクノロジー(以下、チェックポイント)は2016年11月30日、Android端末の管理者権限を取得してユーザーのグーグルアカウントを乗っ取るマルウエア「Gooligan」の被害が拡大中だと注意喚起した。同社によると、既に100万件以上のグーグルアカウントが乗っ取りの被害を受けており、被害を受けたデバイスも1日当たり1万3000件のペースで増えているという。グーグルアカウントを乗っ取られたユーザーの被害事例としては、広告収入を得る目的のアドウエアを強制インストールされたり、特定アプリの評価を上げるためにユーザーになりすました高評価なレビューを投稿されたりする事例が確認されている。
同マルウエアの影響を受けるのは、チェックポイントの発表では「Android 4(Jelly BeanおよびKitKat)」と「Android 5(Lollipop)」。同社は影響を受ける端末やAndroidの詳細バージョンなどを明らかにしていないが、攻撃に使用される管理者権限取得用のrootkitの進化(後述)を考えると、Android 6.0より前のバージョンでは危険性がかなり高いと考えてよいだろう。今後の変化次第では、セキュリティパッチ未適用のAndroid 7.0などにも波及する恐れがある。
Ghost Pushの変種の一つ
Gooliganは2014年に登場して大きな被害を与え続けているマルウエア「Ghost Push」の変種の一つである。
Ghost Push系マルウエアの息が長い理由は、端末に合わせて攻撃手法を自在に変更できるからである。Ghost Push系マルウエアはアプリ内に潜むトロイの木馬型のマルウェアであるが、端末の管理者権限を取得するための不正コード(rootkit)をあらかじめマルウエア自身が抱えるのではなく、端末への感染後に端末種類に合わせたrootkitを攻撃者が設置した「C&Cサーバー」(Command and Controlサーバー)からダウンロードして実行する手法を採用している(図1)。そのため、幅広い種類の端末に柔軟に対応でき、新しいバージョンのAndroidもrootkitを差し替えるだけで攻撃できる。またこうした手法を採ることで、アプリインストール時のパターンマッチングではマルウエアであるかどうかを検知しにくい。
チェックポイントの発表によると、Gooliganでは、少なくとも「VROOT」と「TowelRoot」の2つの脆弱性を悪用するrootkitを使用しているという。しかし、これらの脆弱性はいずれも(端末によって状況は異なるが)概ねバージョン5.0以降のAndroidでは対策済みである。チェックポイントが発表した通りAndroid 5系列にも影響があるとすると、既に他の脆弱性が使われている恐れは高い。
