Malwarebytesは2月5日(米国時間)、これまで数年間にわたってバーコードスキャナとして機能していたアプリが、1度のアップデートでマルウェアへ豹変したと伝えた。該当するアプリはすでにGoogle Playストアから削除されているが、1000万人以上のユーザーが使用していると見られており、依然として注意が必要だ。Malwarebytesは、対象のスキャナをインストールしてしまったユーザーは自発的にアンインストールする必要があるとし、アプリを特定するために提供元、アプリ名、MD5、パッケージ名を公表していた。
Malwarebytesがこのサイバーインシデントを発表した段階では詳細はわかっていなかったが、新しい動きがあった。マルウェアをアップロードしたと考えられていた提供元から、マルウェアに豹変したバージョンのアップロードは行っていないという連絡があったという。マルウェアになってしまったバージョンは「The space team」というアカウントからアップロードされており、元の記事で指摘されている「LavaBird LTD」がアップロードしたものではないと主張している。
Malwarebytesは「Who is to blame for the malicious Barcode Scanner that got on the Google Play store? - Malwarebytes Labs | Malwarebytes Labs」において、LavaBird LTDの主張と事実関係を時系列に整理するとともに、このサイバーインシデントが「The space team」というアカウントが、ソーシャルエンジニアリングのテクニックを使って巧妙にLavaBird LTDが提供したかのように見せかけながら、マルウェア化したバーコードアプリのアップロードを行ったものだと結論づけた。
対象のバーコードアプリはもともとは別の開発者が開発していたものだが、「LavaBird LTD」が2020年11月23日に買収。LavaBird LTDは2020年11月25日に「The space team」に売却する契約を締結。この契約の条件として、譲渡が完了する前に「The space team」アカウント側がアプリ署名鍵とパスワードの確認およびアプリのアップロードを行う必要があるという項目があったとされている。この条件はそれほど不自然なものではなく、買収にあたってこの要求にそれほど無理は感じられないという。
The space teamはこうしたソーシャルエンジニアリングテクニックを使って、Google Playに表示される提供元を従来の提供者にしたまま、マルウェアを混入させたアプリのアップロードを行ったとされているThe space teamのアカウントの持ち主が、この取り組みによってGoogle Playで譲渡前の提供元の名義のままでマルウェアを混入させたアプリをアップロードできることを確認したようだと指摘している。
Malwarebytesはこのサイバーインシデントからは重要な教訓を得ることができると説明。アプリを販売する時は販売先の身元を可能な限り確認したほうがよいと注意を呼びかけている。なお、このサイバーインシデントを引き起こしたと見られるThe space teamというアカウントは2020年12月にアカウントが作成され、2021年1月まで存在していたこと、該当するバーコードアプリ以外に正常な目覚ましアプリを持っていたこと程度の情報しかないことも言及されている。
アプリが買収および譲渡されたあとでマルウェアに変わることは、これまでもセキュリティファームなどが指摘している。しかし今回のサイバーインシデントでは、提供元の名称のままでマルウェアを混入させる方法をソーシャルエンジニアリングの手法を使って実現した点が新しい。今後同じような手法を使って一見すると安全な状態に見せかけつつマルウェアの混入が行われる可能性があり注意が必要。