Google Androidスマートフォンが普及し、ユーザーは多機能なアプリを日常で使いこなしている。我々はスマートフォンを使って個人、そしてビジネス上の情報を保存したり処理しており、その情報を狙う敵を引きつけている。
Palo Alto Networksの研究者は先に、高度なAndroidマルウェア「SpyDealer」を発見したと公式ブログで発表している。
SpyDealerは40以上のアプリから個人データをこっそり抜き取り、Androidの「Android Accessibility Service」機能を悪用してソーシャルやコミュニケーションアプリから機密メッセージを盗むもので、商用のRoot化アプリを悪用してルート権限を獲得し、これを利用してデータに不正にアクセスするという。
ブログにはSpyDealerがターゲットにするアプリとして、WeChat、Facebook、WhatsApp、Skype、Line、Viber、QQ、Tango、Telegram、Sina Weibo、Tencent Weibo、Android Native Browser、Firefox Browser、Oupeng Brower、QQ Mail、NetEase Mail、Taobao、Baidu Net Diskなどを掲載している。
SpyDealerは、電話番号、IMEI、IMSI、SMS、MMS、コンタクト先、アカウント、通話履歴、位置情報、接続したWiFi情報などの個人情報を収集するほか、特定の番号からの着信に対して自動回答、UDP、TCP、SMSチャネル経由でデバイスを遠隔から制御される。感染したユーザーは電話、周囲の音声や動画の録音、フロントとメインの両方のカメラを使って撮影、デバイスの位置情報をモニタリング、スクリーンショットとルートが奪取されるためやりたい放題にされてしまう。
同社リサーチャーが把握するかぎりSpyDealerは「Google Play」経由では拡散していないが、中国のユーザーが、攻撃を受けた無線ネットワーク経由でSpyDealerに感染しているという証拠があるとしている。また、Palo AltoはSpyDealerについてGoogleに報告、Googleはその後、Google Play Protectを通じて保護対策を講じていることも記されている。
SpyDealerはRoot化ツールがサポートするAndroidのバージョン2.2~4.4が動くデバイスに対してのみ有効だが、世界ベースでみると、アクティブなAndroidデバイスの約25%を占めるという。同社の解析データからは、これらサンプルは"GoogleService"または"GoogleUpdate"のアプリ名を使っており、もっとも古いものは2015年10月だが、最も新しいサンプルは2017年5月に作成されているという。
できるかぎり新しいバージョンのAndroidを利用し、スマートフォンにはセキュリティ対策ソフトを入れる、ダウンロード先が信用できるか用心するなど情報が集まるスマートフォンのセキュリティには改めて注意を心がけたい。