Androidを標的とした高度なマルウェア「SpyDealer」が登場!

セキュリティベンダーであるPalo Alto Networksが40種類以上のアプリから個人データを詐取し、Androidのユーザー補助機能を悪用して、アプリが行う通信から機密性の高いメッセージを傍受する高度なAndroid向けマルウェア「SpyDealer」を発見したと報告しています。

このSpyDealerは商用のroot権限取得アプリの脆弱性を利用して、端末のroot権限を奪取し、データを盗み出せるようにしているということです。

同社ではすでにGoogleには報告しており、感染源も「Google Playストア」では見つかっていないため、限定的だと見られますが、長期に渡ってバージョンアップが行われており、今後も注意したい内容となっています。


Androidを搭載したスマートフォン(スマホ)やタブレットなどの普及と、機能豊富なアプリの提供に伴ってスマホなどを利用して個人情報やビジネスに関わる情報を保存するユーザーが増えています。

そんな重要な情報が入ったスマホに対して、虎視眈々と攻撃者がウイルスやマルウェアなどを使って狙ってきています。そんな中、今回発見されたSpyDealerは下記のアプリからユーザーに気付かれずに、個人情報を詐取するとのこと。

・WeChat
・Facebook
・WhatsApp
・Skype
・Line
・Viber
・QQ
・Tango
・Telegram
・Sina Weibo
・Tencent Weibo
・Androidのネイティブブラウザ
・Firefox
・Oupeng Brower
・QQ Mail
・NetEase Mail
・Exfiltrate
・淘宝網
・Baidu Net Disk
など

これらの40以上のアプリを対象としていることに加え、Androidのユーザー補助機能を悪用してさらに下記アプリなどのようなチャットアプリやSNSアプリの通信内容を傍受します。

・WeChat
・Skype
・Viber
・QQ


冒頭で商用のroot権限取得アプリと記載しましたが、そのアプリは「Baidu Easy Root」と呼ばれるものです。SpyDealerはroot権限を取得すると、電話番号や端末個別番号(IMEI)、IMSI、SMS、MMS、連絡先、アカウント、電話履歴、場所、接続されたWi-Fi情報などの個人情報も詐取します。

さらに情報詐取に加えて以下のような行動も行い、SpyDealerに感染したユーザーを文字通り丸裸にするというのです。

・特定の番号からの着信電話に自動的に応答する
・UDP、TCP、およびSMSチャネルによるデバイスのリモートコントロール
・感染したユーザーのスパイ
・通話と周囲のオーディオとビデオを録音する。
・フロントカメラとリアカメラの両方から写真を撮る
・侵害された端末の位置を監視する
・スクリーンショットを撮る


最近のAndroid向けマルウェアは主に標準のアプリ配信マーケットであるGoogle Playストアを経由して感染するものが増えていますが、SpyDealerはGoogle Playストアで配布されているという事実は確認できていません。

Palo Alto Networksによると、正確な感染経路を特定するには至っていませんが、中国のユーザーが無線ネットワークを介して感染することを示唆する証拠を発見したと伝えています。

また同社はこのSpyDealerについてすでにGoogleへ報告しており、先ごろ導入が開始されたAndroid標準のセキュリティー機能「Google Play Protect」でこの脅威から保護できるようにしています。

とはいえ、SpyDealerはAndroid 2.2(開発コード名:Gingerbread)からAndroid 4.4(開発コード名:KitKat)を搭載したデバイスにのみ感染します。これはBaidu Easy RootがAndroid 2.2から4.4にしか対応していないためです。そのため、Android 2.2〜4.4を搭載した端末が全Android搭載機器の25%程度とかなりの量の影響範囲になります。


さらにPalo Alto Networksによると、SpyDealerのサンプルを1046個手に入れて解析を行い、得られた解析結果からSpyDealerにはバージョン1.9.1および1.9.2、1.9.3の3つのバージョンが存在することを確認したとのこと。

中でもバージョン1.9.3ではユーザー補助機能を悪用する機能が追加実装されており、それに加えて解析を妨害するため、内部のコードが難読化されていました。さらに得られたサンプルの大半のアプリ名は、GoogleService、GoogleUpdateといかにも問題なさそうな名前が使われています。

サンプルの中で一番新しいものは2017年5月に作成されたようですが、一番古いものは2015年10月となっているとのことでした。これは、SpyDealerは開発されたから1年半と長期間に渡ってずっと改良をし続けていることを意味します。

今回のようにAndroid向けのマルウェアが発見されると、GoogleがGoogle Play ProtectでAndroidデバイスが保護されるようにしています。ですが、Google Playストアをサポートしていなければ保護されませんし、Google Play Protectが対応するまでは、デバイスを保護することができません。

別途、ウイルス対策アプリを入れていれば大抵は大丈夫ではありますが、ここまで大量にAndroid向けのマルウェアが出てくるとなると、パターンファイル型ではなく、振る舞い検知型のセキュリティー対策ソフトが欲しくなってくるところですね……。

記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・SpyDealer: Android Trojan Spying on More Than 40 Apps - Palo Alto Networks Blog