Google Playストアで発見された難読化されたマルウェア(McAfee Blogより) |
McAfee Labsのモバイルマルウェアリサーチチームは、人気ゲームMinecraftの拡張プログラムを装い、Google Playストアで配布されていたマルウェアについて同社公式ブログで注意を促している。
Storeで配布されていたのは"ValerySoftware"という開発者によって作成されており、Google Playストア上で複数配布されており、それぞれ500回程度、約3,000の端末の感染を推測している。
表面上の動作としては、デバイス管理者権限を要求した後に、HTMLコンテンツを表示するだけだが、背後では、複数の暗号化ファイルを復号化して動的に読み込み、外部サーバからのAPKファイルのダウンロード、アンチエミュレーター技術による動的解析での振る舞い検知の回避など、高度な難読化や暗号化が施されている。
Google Playで配布されていたMinecraftの拡張プログラムを謳うマルウェア(McAfee Blogより) |
他アプリのインストールの試行、広告表示、ユーザー情報の収集、外部コマンドによる起動・終了、アプリのインストール・アンインストールを行える仕組みがあり、JSON形式のファイルに記載されているドメインは、ヨーロッパにあるサイバー犯罪集団と関係があることが判明しているという。
オフィシャルブログでは、Google社ではマルウェアに対する取り締まりを強化しているが、依然として公式ストアでもマルウェアは発見され続けていること、ユーザーのレビューコメントを見たり、同開発者の他のアプリもチェックするなどし、少しでも不審な点があればインストールしないよう注意喚起している。なお、同社のモバイルセキュリティソフトでは、Android/Agent.FLとしてこれを検知する。