ニュース

「最も洗練されたAndroidトロイの木馬」発見〜急速に凶悪化するマルウェア

 ロシアのセキュリティー企業Kaspersky Labsの研究者Roman Unuchek氏は6日、「最も洗練されたAndroidトロイの木馬」を発見したと発表した。

 このマルウェアはこれまで知られていなかったAndroidの脆弱性2つと、端末管理者特権昇格脆弱性を悪用。感染後は被害者に知られることなく潜み、攻撃者からのSMSメッセージによって、アドレス帳や残高を含むほぼすべての情報を抜き取ることが可能だという。

 このマルウェアは現時点でGoogleプレイなど一般的な場所では見つかってはない。感染は主にロシアを中心とした地域で、SMSスパムを介して広がっている。

 しかし、このマルウェアの発見が意味するところは大きい。Androidのマルウェアが急速に凶悪化していることの証拠だからだ。

 Kaspersky Labsはこのマルウェアを「Backdoor.AndroidOS.Obad.a」と命名した。

 「Backdoor.AndroidOS.Obad.a」は、これまで知られていなかったAndroidのバグ2つを悪用する。1つはAPKファイルをJARに変換するDEX2JARのバグ、もう1つはAndroidManifest.xmlの処理に関するバグだ。さらに、端末管理者特権に昇格できる脆弱性も合わせて突くことで、アプリケーション一覧に表示されることなく潜伏し、バックグラウンドモードで動作する。

 大きな問題となるのが、ユーザーがマルウェアの存在を認識しにくいこと、またマルウェアの特権によってユーザーが削除できないことだ。端末の特権では十分ではなく、削除するにはルート特権が必要になる。さらにマルウェアのソースコード自体はこれまでのモバイルマルウェアに見られないほどのレベルで暗号化されており、研究者による解析を難しくさせた。

 いったん感染し、スーパーユーザー特権を獲得すると、インターネット接続が可能であることを確認した上で、犯人達が設置したコントロールサーバー(C&Cサーバー)に暗号化した上でデータを送信する。この時に送信される情報は、BluetoothデバイスのMACアドレス、携帯電話事業者の名前、電話番号、IMEI(携帯電話端末の識別番号)、電話の残高、デバイスの管理者権限が得られているかどうか、端末の現地時間となる。

 犯人は命令をSMSテキストメッセージで送信する。そのため、コントロールサーバーが当局などによって閉鎖されたとしても、既に獲得した端末があれば、別のところからSMSテキストメッセージで操れる「メリット」があると考えられる。

 Kaspersky Labsの研究者は、SMSテキストメッセージで犯人側が行うことができる命令として、テキストメッセージの送信(数値とテキストのパラメータを含む)、PING、米ドルで口座残高を送信させる、プロキシとして動作させる(指定されたアドレスに指定されたデータを送信し、応答を伝える)、指定されたアドレスに接続する、サーバからファイルをダウンロードしてインストールする、スマートフォンにインストールされているアプリケーションリストを送信する、コントロールサーバによって指定されたアプリケーションに関する情報を送信する、ユーザーの連絡先データをサーバーに送信する、リモートシェル(犯罪者によって指定されたコマンドをコンソールで実行する)、検出された全Bluetoothデバイスにファイルを送信する、の全11種類の命令を確認した。

 この解析を終えて、セキュリティー研究者は事態の深刻さについて、「この評価を終えるに当たり、私たちはBackdoor.AndroidOS.Obad.aは、その複雑さと、未公開の脆弱性を複数悪用する点で、他のAndroidトロイの木馬よりも、Windowsのマルウェアに似て見えることを付け加えておきたい。これは、Androidマルウェアのプログラムの複雑さが、種類の数と並んで急速に増加していることを意味している」とコメントした。

 Windowsマルウェアの深刻さは言うまでもない。最適と思われるセキュリティーソフトをインストールし、毎日アップデートするように心がけ、日常の操作に細心の注意を払うといった行動パターンはもはや日常になっている。今や、スマートフォンでも同様の心がけが必要になったということだ。スマートフォンに入っている情報の重要性を考えれば、Windowsを操作するのと同様の、いやそれ以上の注意深い行動が求められるようになるだろう。

(青木 大我 taiga@scientist.com)