Kasperskyでは、Android向けに「670万の悪意のあるインストーラーを発見している」という。これは、前述の15万のマルウェアとは異なり、正常なアプリに悪意のあるコードを仕込み、通常のアプリの動作の裏でプレミアムSMSを発信するなどの動作を行う。また、PC向けに感染し、オンラインバンキングサイトに入力した情報を盗む「Zeus」のように、モバイルバンキングアプリに偽装して情報を盗む「モバイルのZeus」と呼ばれるマルウェアも登場しているという。

悪意のあるコードを埋め込んださまざまなアプリ

その中で、Funk氏が懸念するマルウェアが「Backdoor.AndroidOS.Obad」だ。Obadは、SMS経由でトロイの木馬型マルウェアに感染したスマートフォンが、さらにSMSを送信することで感染を拡大する。特定のWebサイトからファイルをダウンロードするように促し、そこから感染する。また、Google Play以外のアプリマーケットや、Webサイトのリダイレクトを使ってスマートフォンにObadをダウンロードさせる方法も存在しているという。

急拡大するObad

Obadが使うAndroidの脆弱性は3種類あり、特に2つの脆弱性は「(Funk氏らの)アナリストの生活を苦しめるぐらい、リバースエンジニアリングに時間がかかった」そうだ。

Obadが悪用する脆弱性。上2つがFunk氏らを苦しめたもので、下は権限を上昇させる脆弱性

Obadがインストールされると、ボットネットとして動作し、しかもスマートフォンのアプリ設定には、インストールされていても表示されないため、ユーザーがマルウェアの存在に気付きにくい。「ハードウェアをリセットするしかない」という。

アプリがインストールされていると、本来はアプリ設定から確認できるが、Obadはこれを表示しないようにしている

スマートフォンがボットネットの1つとして動作するため、遠隔から操作されてDDoS攻撃などに悪用される恐れがある。Funk氏は「モバイル端末のボットネットは、PC以上に(サイバー犯罪者にとって)メリットが大きい」と強調。特に、PCのように電源を切らず、常時動作しているスマートフォンは、「ボットネットとして安定する」。

また、電話番号やMACアドレス、IMEI、連絡先、各種データなどを取得できるほか、バックドアを設置して、ほかの犯罪者がさらに悪用することもできる。PROXY機能もうも備えており、犯罪者がさまざまな犯罪を行える環境が構築されてしまう。

「モバイルマルウェアとしてパワフルで、危機感を感じている。非常に速い速度で広まっている」とFunk氏。こうしたマルウェアをインストールしないために、インストール時にアプリが取得する権限を確認する方法もあるが、正常なアプリとマルウェアの権限で、「専門家でも判断が難しい」ものもある。これをFunk氏は大きな問題点と指摘する。

アプリが取得する権限の一覧。これは3種類のアプリで、このうちの1種類がマルウェアで、他は通常のアプリ。似たような内容で、マルウェアは一番左

こうした状況下で、2014年には「マルウェアの質がどんどん上がる」という。PCの世界では10年間にわたってマルウェアが進化してきたが、サイバー犯罪者は「10年間で色々学んで、それをモバイルに適用していると感じる」という。犯罪者のビジネスモデルもPCのものが応用されている、としており、スマートフォンでもPCと同様の危険性があるのが実情だ。

また、多くの脆弱性が悪用されており、PCでドライブ・バイ・ダウンロードによって、Webサイトを閲覧しただけでマルウェアがダウンロードされるように、モバイルでもこれが拡大するとFunk氏は予測する。

現在、モバイル向けのボットネットは多くはなく、Funk氏は「実験段階にある」とみている。ただ、「どんどん成熟しているのは確か」であり、今後PCのようにボットネットを犯罪者にレンタルするビジネスモデルも登場する、とFunk氏は語る。

Kaspersky氏は、セキュリティソフトの利用を推奨するとともに、ユーザーはサイバー犯罪が身近に迫っていることの意識を高めること、そしてサイバー犯罪を取り締まる国際的な枠組みの構築の必要性を強調している。

(記事提供:AndroWire編集部)