モバイルセキュリティソリューションを提供するLookoutがAndroid端末をターゲットにしたマルウエア「BadNews」の感染拡大を警告している。広告ネットワークを装ってGoogle Playの監視をすり抜けており、Google Playの統計から推測するとBadNewsの影響を受けたアプリがこれまでに同ストアから2,000,000回-9,000,000回もダウンロードされたという。

BadNewsは感染ペース以上に、これまでになかった攻撃手法から危険な存在となっている。表向きはいくつもの無害なアプリに採用された広告ネットワークSDKのようであり、LookoutのMarc Rogers氏は「ここまで巧みに広告ネットワークを装った有害ネットワークを確認したのは初めて」としている。同社が確認したところ、ロシア語の辞書アプリ、壁紙、ゲーム、英語のゲームなど、Google Playで配信されていた32個のアプリがBadNewsの入り口となっていた。これらがBadNewsをホストすることを目的に作成・配布されたのか、それとも一般の開発者がだまされてBadNewsを採用したのかは「不明」だという。

BadNewsの入り口となっていた32個のAndroidアプリ

BadNewsがアクティベートすると、4時間ごとにC&C (コマンド&コントロール)サーバに接続して、デバイスの電話番号や通話履歴、IMEI、コンタクトなど様々なデータをアップロードし、新たな命令を取得する。そしてアプリのアップデートメッセージなどを装って、ユーザーに被害を与えるプログラムをデバイスにダウンロードさせる。例えば、「skype_installer.apk」「mail.apk」というようなユーザーがインストール許可を与えやすいパッケージ名を使ってマルウエアのAlphaSMSを送り込み、デバイスのSMS機能に置き換えて使用料を詐取する。また、BadNewsをホストする他のアプリのインストールを促すメッセージを表示して被害を広げる手口も確認されている。

Lookoutからの報告によって、BadNewsの入り口となっていた32個のアプリはGoogle Playから削除された。しかしながら、ロシア、ウクライナ、ドイツなどで存在が確認されたBadNewsのC&Cサーバは同社がレポートを公開した後も稼働し続けている。こうした攻撃からAndroidデバイスを守るための対策として、同社は以下の2つを挙げる。

  1. Androidのセキュリティ設定の「提供元不明のアプリ (提供元がPlayストアではないアプリのインストールを許可する)」のチェックを外す。
  2. マルウエア対策機能を備えたモバイルセキュリティアプリを導入する。