「HummingBad」というマルウェアが大きな話題となっている。今年2016年2月に初めて存在が報告されたこのマルウェアは、現在では世界で1,000万台のAndroidデバイスを支配下に置いているといわれており、これを利用した不正な広告アクセスで1カ月あたり30万ドルを稼ぎ出しているという。しかもバックボーンとなるインフラや技術を運営しているのは中国国内で正規に広告配信プラットフォームや解析サービスを提供している企業とみられ、この点でも嫌疑が広がっている。

同件はセキュリティ企業のCheck Point Software TechnologiesがBlogで報告している。「HummingBad」自体はCheck Pointなどが今年2月に存在を報告しており、今回はその被害規模と広がりが改めて確認できたという形だ。感染経路はダウンロードアプリに紛れ込む形でシステムへの侵入を試みるトロジャン型のものとなっており、ここでRoot権限奪取に成功すると、次々と必要なファイルをインターネットからダウンロードしてAndroid端末を支配下に置く。もしRoot権限の奪取に失敗した場合、ポップアップの形で通知やアップデートメッセージを画面上に出力し、ユーザーが誤って追加マルウェアを導入するようしつこく誘導してくる。

このHummingBadを運用するハッカー集団の目的は、主に金銭にあるとみられている。前述のように自在にバックグラウンドプロセスを動作させることが可能なため、感染したデバイスを遠隔制御して広告アクセスを自動的に行うことで収益を上げるという手法だ。実際、Check Pointが公開している分析資料によれば、2015年8月以降に感染デバイス数は上昇を続けており、こうした自動的に生成される広告収入も日々増大していると予想されている。このほか、C&C (Control & Command)サーバ経由でデバイスを制御してボットネット(Botnet)を構築し、特定のサーバや政府組織への攻撃に用いたり、新たな犠牲者となるデバイスを増やすのに活用したりと、攻撃の礎として活用されているようだ。またボットネット自体の他者への転売や貸し出しもビジネスとして考えられ、こうした感染被害の拡大とともに換金手段が増える構図となっている。

全被害の半分近くは中国とインドに集中しており、そこにフィリピン、インドネシア、トルコ、ブラジル、メキシコ、米国などが続く。上位20カ国では少なくとも10万台以上の被害があるとみられている。AndroidのバージョンはKitKat(4.4)が50%で最多で、次にJelly Bean(4.1)が40%、Lollipop(5.0)が7%、Ice Cream Sandwich(4.0)が2%、Marshmallow(6.0)が1%と続く。

最も被害があるというAndroid KitKat

HummingBadではいくつかの理由から、中国の重慶にあるYingmobという会社がそのバックグラウンドにあると考えられている。JailbreakなしのiOSを乗っ取ることが可能なマルウェアとして2014年にWireLurkerが、2015年にYiSpecterがそれぞれ話題になったが、感染経路としてUSBを必要とするWireLurkerに比べYiSpecterは技術的に洗練されており、テクニック的にも今回のHummingBadのそれに似ているといわれる。

YiSpecterはiOSとAndroidの両方をターゲットにしており、拡散にあたっては中国でアダルト動画を視聴するためのプレイヤーに偽装する形でマルウェアを紛れ込ませた例が知られている。今回のHummingBadでもこうしたアプリやゲームアプリ経由での拡散が行われたとみられる。このYiSpecterは自身のデバイスへのインストールにあたってYingmobの持つ企業向け証明書を用いているほか、YiSpecterが利用するC&CサーバはHummingBadも共用しており、さらにYiSpecterが当初主なターゲットとしていたアダルト動画再生アプリの「QVOD」に関する文章がHummingBadに含まれているなど、技術的にもバックグラウンド的にも非常に類似点が多い。

一方でYingmobは一般企業向けの各種広告配信や最適化サービスも提供しているなど、正規のビジネスと裏のビジネスが同居しているとみられる点で嫌疑をかけられている。現在のところは日銭稼ぎが中心とみられているが、この技術を応用してさらに次の動きを見せる可能性もあり、その動向に注目が集まっている。