トレンドマイクロは12月3日、スマートフォン向けのセキュリティセミナーを開催し、報道関係者向けにスマートフォンのマルウェアについて解説した。同セミナーでは、マルウェアの手口がより高度化し、巧妙になっている現状が紹介された。
同社によれば、Android向けのマルウェアが初めて登場したのは2010年8月。トレンドマイクロで「AndroidOS_DROIDSMS.A」とい名付けられたマルウェアで、アダルト動画を再生するアプリを偽装。実際は海外で一般的な有料のSMSサービス(プレミアムSMS)を悪用するという詐欺アプリだった。
その後、特にAndroid向けのマルウェアは拡大の一途をたどる。以前は不正なWebサイトからのダウンロード、非正規のアプリマーケットからの配信、ゲームや動画などのアプリに偽装して配信されていたが、「手口が多様化し、攻撃が巧妙になってきている」(同社フォワードルッキングスレットリサーチ シニアリサーチャー林憲明氏)という。新たな手口として、正規アプリマーケットのGoogle Playを狙い、正規アプリのマルウェア化、時間差攻撃、脅威の分割、などといった手法が使われてきていると林氏は言う。
Google Playは、Android標準のマーケットであり、利用者には一定の信頼感があるため、外部のアプリマーケットに比べてマルウェアがインストールされやすくなる。Googleは基本的にアプリ配信に審査をしないとはいえ、最低限の検証、その後の巡回によるマルウェア検出「Bouncer」の実施といった作業を行っており、マルウェア作者は、こうした審査を回避する手法を生み出している。
その1つがインストールされるアプリの機能を限定する方法だ。Androidアプリは、インストールする際に利用する権限が羅列され、そこで危険なアプリかどうかをユーザーが確認できる。
しかし、機能を限定したマルウェアは、権限としてネットワークアクセス権限しか取得せず、危険性を低く見せかける。実際はワンクリック詐欺サイトにアクセスさせ、そこで金銭を盗もうとするなど、アプリ外から収益を得ようとする。単独では危険性はないが、利用する際に危険性があるアプリだ。また、主要機能の部分はソースコードからコピー&ペーストし、アクセス先のURLや外観を変更しただけの同種アプリを大量に制作して、アプリの数を稼ぐという手法もとられているそうだ。
トレンドマイクロが調査したところ、Google Play上のワンクリック詐欺アプリ300件のうち、ネットワークへのアクセス権限のみを要求するアプリが96%に上り、単純に権限を確認するだけでは危険性が判断できなくなってきているという。海外では、プレミアムSMSを悪用するためにSMSの権限を取得するマルウェアが多く、こうした最小限の権限を要求するワンクリック詐欺アプリは「日本特有の事象」(林氏)だ。また、300件のワンクリック詐欺アプリの開発者を調べたところ、開発者名は80に分けられ、多くのマルウェア開発グループが存在するように見えるという。しかし、アプリの電子署名を確認すると、80%に当たる241件が同一の電子署名を使っており、実際は同じ開発者が開発者名を使い分けていたことが分かった。
もう1つの手法が「時間差攻撃」だ。時間差攻撃は、当初は悪意のある行動を取らない無害なアプリとして公開し、アプリに更新機能を組み込み、別のマルウェアをダウンロードさせるなどして攻撃を行うというもの。
この手法が用いられたのが「BadNews」と呼ばれるマルウェアで、アプリ内の広告ネットワークからアプリのダウンロードを促し、プレミアムSMSを悪用するマルウェアをインストールさせようとするものだ。ワンクリック詐欺アプリや、国内で話題になった「the Movie」といったマルウェアが2~7日でGoogle Play上から削除されていたところを、33日間生き残っていたということで、無害なアプリに装った攻撃が成功していることがわかったという。
ワンクリック詐欺アプリのような機能を限定したマルウェアは、技術レベルが低く製作が容易で、ダウンロード数も多くなるが、すぐに削除されてしまう。BadNewsのような時間差攻撃を使ったマルウェアは、技術的には高度でダウンロード数もワンクリック詐欺アプリほどではないが、生存期間が長く、攻撃に成功する確率も増えるということだ。
こうした攻撃に対して、今後さらに別の手法を使った攻撃が増えてくると林氏は予測する。それが、アプリのなりすましだという。