Kaspersky Labは9月23日(現地時間)、「Necro Trojan infiltrates Google Play and Spotify and WhatsApp mods|Securelist」において、Google Playで配布されているアプリからトロイの木馬「Necro」を発見したと報じた。マルウェアを含むアプリは「Wuta Camera - Nice Shot Always」および「Max Browser-Private & Security」の2つで、総ダウンロード数は合計で1,100万回以上とされる。
マルウェアが混入していたアプリの概要
マルウェアが混入していたアプリおよびバージョンは次のとおり。
- Wuta Camera - Nice Shot Always 6.3.2.148から6.3.7.138未満のバージョン
- Max Browser-Private & Security 1.2.0およびこれ以降のバージョン
マルウェアが除去されたアプリ
マルウェアを除去したとされるアプリおよびバージョンは次のとおり。
- Wuta Camera - Nice Shot Always 6.3.7.138
マルウェア配布の原因
これらアプリは複数の広告モジュールを統合した「AdsRun」と呼ばれるソフトウェア開発キット(SDK: Software Development Kit)を採用。AdsRunは初期化時に「Coral SDK」と呼ばれるモジュールを初期化するが、このモジュールがマルウェアローダーとされる。
つまり、アプリの開発者は独自の広告配信システムを導入しようとして、悪意のあるSDKを導入したことになる。これはサプライチェーン攻撃と呼ばれる攻撃手法で、外部ソフトウェアを十分に監査せずに採用することで発生する。
トロイの木馬「Necro」の概要
マルウェアローダーはコマンド&コントロール(C2: Command and Control)サーバから画像ファイルをダウンロードする。この画像ファイルにはステガノグラフィーによるマルウェアの埋め込みがなされており、セキュリティソリューションの検出を回避する。マルウェアローダーはダウンロードした画像ファイルからトロイの木馬「Necro」を抽出して実行する。
Necroには少なくとも次の機能があるとされる。
- 非表示広告の表示および操作
- 任意のDEXファイルのダウンロードおよび実行
- アプリのインストール
- 非表示WebViewを構築し、任意のリンクアクセスおよびJavaScriptの実行
- 有料サービスに加入
- ネットワークトンネルの構築
影響と対策
Kaspersky Labの調査によると、2024年8月26日から9月15日まで、同社のセキュリティソリューションによりNecroの感染を1万件以上阻止したという。国別の統計ではロシア、ブラジル、ベトナムのユーザーが影響を多く受けたとのこと。
Wuta Cameraはマルウェア混入の報告を受けて修正バージョンを公開した。Kasperskyは当該アプリを使用しているユーザーに対し、アプリを最新バージョンにアップデートすることを推奨している。なお、Max Browserは報告後にストアから削除された。そのため、Max Browserはアンインストールすることが推奨されている。
非公式ストアから配布されている複数のアプリからもNecroが発見されており、影響を軽減するためアプリはGoogle Playまたは公式サイトからのみダウンロードすることが望まれている。