Android向けのマルウェア「Xavier clandestinely」がGoogle Playストアにはびこる!

Trend Micro(トレンドマイクロ)は13日(現地時間)、Androidをターゲットとしたマルウェア「Xavier clandestinely」が標準のアプリ配信マーケット「Google Playストア」で配信されているアプリの中に紛れこんでいると警告をお知らせしています。

同社によると、Xavier clandestinelyは感染したスマートフォン(スマホ)などのAndroid製品からデータを盗むマルウェアで、Google Playストアで公開されている800以上のアプリに含まれているというのです。

Androidにとってこういったマルウェアの登場は特に珍しくはありませんが、Xavier clandestinelyは今までのマルウェアと比べて少し巧妙だとのこと。その動作はまさにパソコン(PC)向けのマルウェアとそっくりな動きをします。

つまり、リモートサーバーから悪意のあるコードをダウンロードして実行し、文字列の暗号化、インターネットデータの暗号化、エミュレーターの検出、自己保護のメカニズムを利用し、自身のトラフィックを隠蔽するということです。

【感染するとどうなるか】

このXavier clandestinelyに感染すると、まずリモートサーバーから初期設定を取得し、製造元、言語設定、製造国、インストールされているアプリの一覧、メールアドレスなど、感染したスマホなどの情報を取得し、暗号化してリモートサーバーに送信します。

Trend Microによると、Xavier clandestinelyはAndroidエミュレーターで動作しているかをしっかりと確認します。これは、マルウェアを解析しようとした人がAndroidエミュレーターを利用していることを想定して、解析されにくくしています。

デバイス名や製造元、デバイスのブランド名、OSのバージョン、ハードウェアID、SIMカードのオペレーター、解像度をチェックし、ひとつでも怪しい部分があれば、Xavier clandestinelyは動作しません。

Trend Microではベトナムおよびフィリピン、インドネシア、タイ、台湾などの東南アジア諸国でXavier clandestinelyが含まれたアプリがGoogle Playストアで配布されていることを確認されました。その多くが写真編集アプリや、着信音を変更するなど、一見すると無害に見えるアプリです。

【Googleは継続的に対策を実施】

最近、Xavier clandestinely以外でもGoogle Playストアでマルウェアが含まれたアプリが続々と確認されています。今年3月には、Palo Alto NetworksがGoogle Playストアで公開されている132個のアプリにWindows向けのマルウェアが混入されていることを、5月にはCheck Pointが3500万台のAndroid製品に感染する可能性のある自動クリックアドウェアである「Judy」がそれぞれ配布されていることを確認しました。

Googleはこのようなマルウェアに対向するために「Google Play Protect Platform」を導入したり、351の通信会社と協力してセキュリティーパッチの展開前のテストにかかる時間を短縮し、セキュリティーパッチの承認プロセスを6〜9週間短縮するなどの対策を行っています。

それに加えてGoogleは100万ドルを投入し、Androidの脆弱性を発見した人に対して、報奨金を支払う「Bug bounty Program」を展開しています。

スマホが普及したおかげで、各人の携帯電話にはたくさんの個人情報や、モバイルバンキングやクレジットカード情報などの機密情報が大量に含まれています。

また、ITに疎いユーザーもスマホを触るようになったため、セキュリティーに対する意識が低い事につけ込んで、悪意のある第3者がXavier clandestinelyのようなマルウェアが続々と増えてきています。

自分のスマホには「重要な情報が入っているんだ」と、きちんと意識しないといけませんね!

記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・TrendLabs Security Intelligence BlogAnalyzing Xavier: An Information-Stealing Ad Library on Android - TrendLabs Security Intelligence Blog
・Newly discovered Android malware Xavier clandestinely steals your data