記事検索
バックナンバー

狙われ始めたAndroid

第2回:“やられ放題”になるボットの恐ろしさ


 前回はモバイル端末を狙うマルウェアについて、その歴史的経緯を中心に解説しました。今回は、実際にマルウェアの実例をいくつか挙げてその挙動を解説します。モバイル端末に感染するマルウェアのうち、数が最も多いものはSMS(Short Messaging Service)を悪用するSMS Trojanです。

多数を占めるSMS Trojan

 通信キャリアへの接続機能を有するモバイル端末には、必ずと言っていいほどSMS機能が搭載されています。この機能を悪用するマルウェアは、OSプラットフォームを問わずこれまでに数多く発見されています。

 最近では、Androidに感染するマルウェアとして出現したものもこのタイプで、前回紹介した「Trojan-SMS.AndroidOS.FakePlayer.a(通称Fake Player)」となります。初出からすでに1年以上が経過していますが、実は亜種が不定期に発見されており、2011年11月時点では15種の亜種が確認されています(Kaspersky Lab調べ)。

 また、Androidに限定せずモバイル向けOS全体に目を向けると、ほぼ毎日のようにSMS Trojanの亜種ないしは新種が発見されているのです。

SMS Trojanの実例――Trojan-SMS.AndroidOS.FakePlayer

 それでは、Trojan-SMS.AndroidOS.FakePlayerについて具体的に解説します。図1はFake Playerに感染したAndroid端末の画面キャプチャーです。赤囲いをしているアイコンのMovie PlayerやPorno Playerというものが確認できます。

図1:赤囲いをしているアイコンのMovie PlayerやPorno Playerというものが確認できる

 一見、動画再生用のアプリを装っていますが、これらがFake Playerそのもので、端末上にこれらのアイコンが見えているということは、すでにFake Playerに感染していることを表しており、動画再生用アプリを騙ったマルウェア入りアプリをユーザーがダウンロードしてインストールしてしまったことを示しています。なお、アプリの名称は亜種によっていくつかの種類がありますが、基本的には挙動は同じです。

 Fake Playerの場合は、ダウンロード元は典型的にはアダルトサイトで、モバイル端末から当該サイトを閲覧するとアプリがダウンロードされる仕組みになっています。インストールしたアプリを起動すると、ユーザーには気付かれないように勝手にSMSを送信してしまいます。送信されるSMSは、いわゆるプレミアムSMSと呼ばれるもので、一通SMSを送るたびに課金される仕組みです。

 プレミアムSMSは、コンテンツを入手するたびに少額の決済を行う仕組みとしてヨーロッパを中心に広く利用されている課金形態で、このサービス自体は悪意がある、もしくは違法なものではありません。Fake Playerは、ユーザーの意思とは無関係に勝手にプレミアムSMSを送信し、ユーザー(つまりモバイル回線の加入者)に課金を行ってしまうところがマルウェアである所以となります。プレミアムSMSは日本ではほとんど浸透していないように思いますので、私たち日本人にとっては馴染みが薄いですが、日本国内の電話サービスであるダイヤルQ2のSMS版であるという理解をしていただけると分かりやすいのかもしれません。

 また、Fake Playerの初代であるTrojan-SMS.AndroidOS.FakePlayer.aを例にとると、送信先のプレミアムSMSはロシア国内からのSMSしか受け付けないサービスでしたので、仮に日本国内で感染してしまったとしても実際に課金されることはありません。この事実を知ると読者のみなさまはかえって実感が薄らいでしまうかもしれません。しかし、日本国内においてもSMS規格統一の動きがありますし、歴史的にもSMSを利用できる端末数が多いということはそれだけマルウェア作成側にとっては枯れた技術であるという点で、看過できないものであると筆者は考えています。

正規アプリにマルウェアを埋め込む事例も

Geinimiを含むゲームを起動したときの画面。ゲームとしても問題なく動作するので、見た目は正規版と変わらない

 次に取り上げたいマルウェアは、Androidに感染するボットの初例とされるもので、通称「Geinimi(ゲイニミ)」と呼ばれるものです。Kaspersky Labの検知名は「Trojan-Spy.AndroidOS.Geinimi」となります。

 このマルウェアが発見されたのは2010年12月末、しかも12月30日ないし31日というタイミングでした。我々セキュリティ関係者も、企業などの組織に所属している場合は年末年始休暇に入っている時期だったので、その意味でも筆者の記憶には印象的に残っています。

 Geinimiは、中国のとあるAndroidアプリ配布サイトでゲームを装って公開されていました。このゲームは、実は有償の正規版が存在していたので、Geinimiを含むゲームはいわゆる海賊版ということになります。

 Geinimiの作成者は正規のアプリに対してGeinimiを含むコードを埋め込み、Androidのインストールパッケージであるapkファイルに再パックして無償で配布したのです。なお、このcnドメインのアプリ配布サイトはGoogleが運営するAndroid Marketとは全く関係が無いサードパーティサイト(野良サイトと呼ばれることもあります)でした。また、初見から数日間のうちにいくつかの亜種も確認されています。中にはゲームばかりではなく、女性の写真集として動作するアプリもありました。

 ここで注目したい点が、正規アプリにマルウェアを含むコードを埋め込んだ、という点です。Androidのインストールパッケージであるapkファイルは、平たく言うとzipファイルであり、実はあまり高度な技術を駆使せずともこのようなことができてしまうということを十分に認識しておく必要があります。

 この手法、つまり海賊版アプリの一部に悪意あるコードを埋め込む(または差し替える)、もしくはアプリのインストールパッケージapkの一部に悪意あるコードを含ませてマルウェア入りのアプリを配布するという手法は、Android向けのマルウェア感染手法の主流となっていることも忘れてはなりません。

GeinimiはAndroid初のボット

 次にGeinimiの実際の挙動を解説します。Geinimiの最大の特徴は悪意ある第三者のサーバーからネットワーク越しに遠隔で操作されうる点で、これがボットと言われる理由です。

 もちろん、これまでにもPCに感染するボットは非常に数多く発見されています。それらの用途・挙動としては例えば、遠隔で勝手にメールを送信する命令を受けることでスパムメールの発信元にされてしまったり、勝手に通信パケットを送信する命令を受けてDDoS攻撃に加担させられてしまったり、感染端末内にある情報を勝手に第三者に送信したり、他のマルウェアを勝手にダウンロードないしは自分自身の更新や消去を行ったりなど、多彩に確認されているところです。

 Androidの場合も理論上PCのボットと同じように、命令を受ければ多彩な遠隔操作ができる状態に陥ると言えます。可能性としての具体例を挙げるならば、SMS送信や電話の発信、ファイルのダウンロード、指定したURLの閲覧などです。さらに言えば、端末情報や端末内に存在する個人情報を収集してそれらを送信することも可能です。Android搭載のスマートフォンは位置情報を取得するGPS機能が付いているものが大多数ですので、それらを送信する命令を受けた場合は、勝手に端末の位置を第三者のサーバーに送信してしまうことも可能です。

 筆者は、Geinimiを調査している際に、PCの世界で実際に起きているように巨大なボットネットがスマートフォンを舞台としても構築されてしまうのではないか、もしくは既存のボットネットにスマートフォンも組み入れられてしまうのではないかという想像を頭の片隅でしていました。

 Geinimiに関して言えば幸いにもそのような目立った動きを確認できていないので、筆者の想像は杞憂に過ぎなかったと言えますが、機能としては立派なボットですので、今後も油断はできないと考えています。

ボットやバックドアの恐ろしさ

 ボットやバックドアは、一度感染してしまうと悪意ある第三者のサーバーホスト(C&Cサーバー:Command and Controlサーバー)から自由に操られてしまう状態に陥るため、平たく言うと「何でもありのやられ放題」な状態になると言ってしまっても過大表現にはならないと思います。

 また、先に述べたように、PCの世界では非常に巨大なボットネットを構成するボットがいくつも確認されています。大きいものでは数百万台規模のボットを抱えるものもあります。ひとたびボットネットが構築されてしまうと、これを完全に潰すことは至難の業です。

 もちろん、セキュリティベンダーやOSベンダー、各国の法執行機関などが協力してボットネット自体を閉鎖に追い込む施策も行われています。また、日本のサイバークリーンセンター(CCC)やドイツのアンチボットプロジェクトであるAnti-Botnet Beratungszentrumのように感染端末を減らすと同時に、新たにボット化する端末を予防する試みもあります。スマートフォンに関して言えば、巨大なボットネットが構築される前の段階ですので、予防線を今ならまだ張っておく対策ができると考えています。

 次回は、さらにいくつかのマルウェアの実例を考察したいと思います。


関連情報

2012/1/6 06:00


前田 典彦
株式会社カスペルスキーに所属し、チーフセキュリティエヴァンゲリストとしてマルウェアおよびインターネットセキュリティに関する調査啓蒙活動に従事するほか、社外NPO法人や各種団体の委員・幹事としても活動している。同社のCSIRT組織であるKLIRRTの代表も務める。