Kaspersky Labは9月23日(現地時間)、「Necro Trojan infiltrates Google Play and Spotify and WhatsApp mods|Securelist」において、Google Playで配布されているアプリからトロイの木馬「Necro」を発見したと報じた。マルウェアを含むアプリは「Wuta Camera - Nice Shot Always」および「Max Browser-Private & Security」の2つで、総ダウンロード数は合計で1,100万回以上とされる。

  • Necro Trojan infiltrates Google Play and Spotify and WhatsApp mods|Securelist

    Necro Trojan infiltrates Google Play and Spotify and WhatsApp mods|Securelist

マルウェアが混入していたアプリの概要

マルウェアが混入していたアプリおよびバージョンは次のとおり。

  • Wuta Camera - Nice Shot Always 6.3.2.148から6.3.7.138未満のバージョン
  • Max Browser-Private & Security 1.2.0およびこれ以降のバージョン
  • Google PlayのWuta Cameraアプリページ

    Google PlayのWuta Cameraアプリページ

マルウェアが除去されたアプリ

マルウェアを除去したとされるアプリおよびバージョンは次のとおり。

  • Wuta Camera - Nice Shot Always 6.3.7.138

マルウェア配布の原因

これらアプリは複数の広告モジュールを統合した「AdsRun」と呼ばれるソフトウェア開発キット(SDK: Software Development Kit)を採用。AdsRunは初期化時に「Coral SDK」と呼ばれるモジュールを初期化するが、このモジュールがマルウェアローダーとされる。

つまり、アプリの開発者は独自の広告配信システムを導入しようとして、悪意のあるSDKを導入したことになる。これはサプライチェーン攻撃と呼ばれる攻撃手法で、外部ソフトウェアを十分に監査せずに採用することで発生する。

トロイの木馬「Necro」の概要

マルウェアローダーはコマンド&コントロール(C2: Command and Control)サーバから画像ファイルをダウンロードする。この画像ファイルにはステガノグラフィーによるマルウェアの埋め込みがなされており、セキュリティソリューションの検出を回避する。マルウェアローダーはダウンロードした画像ファイルからトロイの木馬「Necro」を抽出して実行する。

Necroには少なくとも次の機能があるとされる。

  • 非表示広告の表示および操作
  • 任意のDEXファイルのダウンロードおよび実行
  • アプリのインストール
  • 非表示WebViewを構築し、任意のリンクアクセスおよびJavaScriptの実行
  • 有料サービスに加入
  • ネットワークトンネルの構築

影響と対策

Kaspersky Labの調査によると、2024年8月26日から9月15日まで、同社のセキュリティソリューションによりNecroの感染を1万件以上阻止したという。国別の統計ではロシア、ブラジル、ベトナムのユーザーが影響を多く受けたとのこと。

  • 2024年8月26日から9月15日までの国別Necro感染阻止件数 - 引用:Kaspersky

    2024年8月26日から9月15日までの国別Necro感染阻止件数 引用:Kaspersky

Wuta Cameraはマルウェア混入の報告を受けて修正バージョンを公開した。Kasperskyは当該アプリを使用しているユーザーに対し、アプリを最新バージョンにアップデートすることを推奨している。なお、Max Browserは報告後にストアから削除された。そのため、Max Browserはアンインストールすることが推奨されている。

非公式ストアから配布されている複数のアプリからもNecroが発見されており、影響を軽減するためアプリはGoogle Playまたは公式サイトからのみダウンロードすることが望まれている。