So-net無料ブログ作成

Google Playで「ポケモンGO」関連マルウェア発見、巧妙な「検知逃れ」 [ウィルス/不正アクセス]

7月に配信開始され、いまも根強い人気の「ポケモンGO」を標的としたマルウェア(ウイルス)が、Android端末用アプリの公式マーケット「Google Play」で発見されたとして、セキュリティベンダーのカスペルスキーが注意を呼びかけている。現在は削除されており、日本のデバイスへの感染は確認されていないが、今後、日本語を対象とした類似のマルウェアが出現する可能性もあり、警戒が必要だ。

ポケモントレーナーを標的とした不正アプリ「Guide for Pokémon Go」には、Androidのルート権限を取得するトロイの木馬が仕込まれている。このトロイの木馬は、インストールされた環境が仮想マシン(セキュリティ専門家が不審なアプリのふるまいを確認する装置)か、一般ユーザーのスマートフォンかを確認し、仮想マシンと判断すれば悪事を働かず、検知を巧妙に逃れるという。

■「Guide for Pokémon Go」の巧妙なふるまい

 Google Playに置かれていた不正アプリ「Guide for Pokémon Go」は、インストールしても、すぐには起動しない。アプリに仕込まれたトロイの木馬は、ユーザーが別のアプリをインストールまたはアンインストールするまで待ち、自分が置かれた環境が仮想マシンか実デバイスかを確認する。実デバイス上にいることを確認すると、感染したデバイスの詳細情報(国、言語、モデル、OSのバージョンなど)を収集し、外部(サイバー犯罪の指揮統制を行うC&Cサーバー)に送信する。
 C&Cサーバーは、送られた情報を分析して犯罪ニーズに合う標的かどうかを判断。トロイの木馬は指示を受けた場合にだけ、C&Cサーバーの権限を使い、悪意あるファイルをダウンロードするという。これらのファイルによって、2012年から2015年にかけて発見された脆弱性の悪用が可能になり、システムのルート権限を取得。追加の不正アプリを密かにインストールし、感染デバイスを迷惑広告で埋め尽くす。

■50万回以上ダウンロードされ、6000件が感染

 このトロイの木馬が仕込まれた不正アプリ「Guide for Pokémon Go」は、発見後ただちにGoogleに報告され削除されたが、その時点で50万回以上もダウンロードされ、少なくとも6000件の感染があったとみられている。デバイスの感染は、ロシア、インド、インドネシアで確認されているが、英語圏をターゲットにしているため、世界中にもっと多くの感染者がいると考えられている。

 愛用のスマートフォンが不正広告で埋め尽くされるのも耐え難いが、さらに不気味なことは、このトロイの木馬がどんなアプリもこっそりインストールできてしまうことだ。攻撃者は不正広告の利益だけでは飽き足らず、「デバイスをロックして身代金を要求したり、銀行口座からお金を盗んだりする手段に出ないとも限りません」と、カスペルスキーは警告する。また、ポケモンを捕まえている間に不正アプリに捕まらないために、次を参考にするようアドバイスしている。

 (1) 公式ストアからダウンロードしたアプリも100%安全とは言い切れないことを肝に銘じよう。「Guide for Pokémon Go」のように、企業が講じる防御手段を犯罪者がすり抜けることがある。

 (2) スマートフォン向けのセキュリティパッチがリリースされたら、すぐにインストールしよう(PCも同様)。サイバー犯罪者は、モバイルOSの脆弱性もデスクトップOSの脆弱性も狙っている。

 (3) Google Playのレビューと評価は必ずしも信頼できるとは限らない。「Guide for Pokémon Go」は、Google Playで星4つを得ていた。犯罪者が特殊なマルウェアを使ってレビューや評価をでっちあげる可能性があることを知っておこう。

(2016/09/23 セキュリティ通信)

【関連URL:カスペルスキー】
・Kaspersky Lab、Pokémon GO関連にみせかけた不正アプリ「Guide for Pokémon Go」を発見
http://www.kaspersky.co.jp/about/news/virus/2016/vir15092016
・悪意あるポケモンGO関連アプリ、ポケモントレーナーを狙う
https://blog.kaspersky.co.jp/pokemon-go-malware/12577/

【関連記事:セキュリティ通信】
・「ポケモンGO」でトラブルに巻き込まれないために(2016/07/27)
http://security-t.blog.so-net.ne.jp/2016-07-27