マカフィーは15日、サンドボックスゲーム「Minecraft」の拡張プログラムを装い、Google Playで配布されていた複数のマルウェアに注意喚起した。

「Minecraft」の拡張プログラムを装ったマルウェア(画像:マカフィー)

これらマルウェアは同一の作者が作成。Google Play上の数値によると、それぞれ500回程度インストールされ、およそ3,000の端末が感染されたとみられている。具体的な挙動は下記の通り。

  • 複数の暗号化・難読化が施されている
  • 外部サーバからAPKをダウンロードする
  • Google Playで他アプリのインストールを試みる
  • 不正な広告表示・アクセス
  • ユーザ情報や端末情報を収集する
  • 外部コマンドでアプリの起動・終了、インストール・アンインストールなどを行う

いずれも、ユーザー向けにはデバイス管理者権限を要求し、WebView機能でHTMLコンテンツを表示するのみ。しかしバックグランドではユーザー情報を収集するなど悪意ある動作を行っていた。このマルウェアでは、バックグラウンドでの動作を隠し、アンチウイルス製品の検出を回避する目的で、ファイルの暗号化や難読化がなされている。また、アンチエミュレーター技術により、動的解析環境での振る舞い検知を回避しているという。

マカフィーでは、Googleでも取締りを強化しているが、依然として公式ストアでマルウェアが発見され続けている点を懸念。アプリインストール時に、他ユーザーのレビューコメントを確認すること、アプリが要求する権限の妥当性を確認すること、同じ開発者の他アプリを確認することなどを推奨し、「もし少しでも不審な点があればインストールしないように」と呼びかけている。

マルウェアには、指定されたURLからAPKをダウンロードする機能も埋め込まれている(画像:マカフィー)