シマンテックはこのほど、公式ブログにおいて、Androidデバイスデバイスをボットネットに組み入れようとするマルウェア「Sockbot」が、Google Playに出現したと伝えた。

このマルウェアは「Android.Sockbot」として検出され、Google Play上のアプリに偽装し、侵入したデバイスをボットネットに追加しようとするという。

これまで、同様のアプリが少なくとも8種類は見つかっており、インストールベースにすると、感染しているAndroidデバイスは60万台から240万台にまで達するとしている。

今回見つかったアプリの表向きの用途は、「Minecraft: Pocket Edition(PE)」でキャラクターの外見を変更することだが、バックグラウンドでは、隠蔽された高度な攻撃機能が働いている。

同社は、実際に稼働しているSockbotのネットワーク解析を実施し、この活動が不正な広告収入を目的にしていることを突き止めたという。

「Minecraft PE」のスキンアプリに偽装する悪質なアプリの1つ 資料:シマンテック

このアプリは、ポート9001でコマンド&コントロール(C&C)サーバに接続し、コマンドを受け取る。C&Cサーバは、SOCKSを使ってソケットをオープンするようアプリに命令し、指定したポートで所定のIPアドレスからの接続を待つ。接続が確立すると、ターゲットサーバに接続するコマンドが発行される。

アプリは要求されたターゲットサーバに接続し、広告のリストとそれに関連するメタデータ(タイプ、スクリーンサイズ、名前など)を受信する。同じSOCKSプロキシの仕組みを用いて、アプリは広告サーバに接続し、広告表示を要求し始めるという。

同社は10月6日に、こうした悪質なアプリの存在をGoogle Playに通知しており、Googleからもストアから該当のアプリを削除したと連絡があったとのこと。