勝手に暗号通貨のマイニングされるマルウェアがGoogle Playストアで配信!

トレンドマイクロは31日、Android向けアプリ配信マーケット「Google Playストア」にて仮想通貨をマイニングさせるマルウェアが配信されていることを確認したと発表しています。

暗号通貨といえば、今高騰して話題を呼んでいる「Bitcoin」などを指しますが、これらの暗号通貨のほとんどはマイニングと呼ばれる作業を行うことで、暗号通貨を得られることができます。

自分自身が行うのであれば、何の問題もないマイニングですが、今回のマルウェアは勝手にマイニングされ、しかも感染者には1円も入ってこないので、非常に問題のあるマルウェアと言えます。

【見つかったマルウェアは2つ!1つは「Coinhive」を悪用】


今回見つかったマルウェアは2種類あり、1つは「ANDROIDOS_JSMINER」と呼ばれるマルウェアなのですが、暗号通貨をマイニングする機能に「Coinhive」を悪用している物のようです。

Coinhiveとは今話題になっているJavaScriptで、本来の使い方としてはWebサイトに配置することで、Webサイトへアクセスしてきた人のマシンパワーを借りて、暗号通貨のマイニングを行い、サイト運営者に利益を供するという新しいWebサイトマネタイズ手法の1つです。

このCoinhiveをアプリに仕込んで、被害者に気付かせないように暗号通貨をマイニングさせているのです。

このANDROIDS_JSMINERが仕組まれていたアプリは「Recitiamo Santo Rosario Free」と「SafetyNet Wireless App」の2つで、前者はロザリオの祈りを行うためのアプリで、後者はユーティリティーアプリです。


トレンドマイクロがこれらのアプリのコードを検証したところ、CoinhiveからJavaScriptを読み込み、マイニングを開始させようとしている記述が確認できたとしています。


また、このコードはWebViewで実行されるようになっているのですが、被害者に暗号通貨をマイニングさせるそぶりを隠すため、「android:visibility」をinvisibleに指定して、当該WebViewを非表示設定させていることが確認できます。

これらのアプリを立ち上げると、暗号通貨のマイニングが始まるため、CPU利用率が極端に高い値を示し、デバイスの動作が非常に重くなることが容易に想像できます。

【もう1つは正規アプリをトロイの木馬化】


もう1つは正規のアプリに暗号通貨マイニングライブラリを仕込んだ「ANDROIDS_CPUMINER」と呼ばれるマルウェアで、壁紙アプリに偽装している「Car Wallpaper HD: mercedes, ferrari, bmw and audi」が対象だということです。


正規のアプリと比べると、マルウェアのアプリには「lib」ライブラリーが追加されており、暗号通貨マイニングライブラリーである「cpuminer」を改良して悪用しているようです。

【これらのマルウェアで24時間に170ドルも稼ぐ!】


トレンドマイクロが発表した10月31日時点では、MagiccoinやFeathercoin、VertCoin、MyriadCoin、Unitusの5つの暗号通貨をマイニングしていることが確認できており、その額はなんと24時間で170ドル(約1.9万円)ほど稼いでいるようです。

暗号通貨のマイニングと言えば、非常に大きなCPUリソースまたはGPUリソースが必要で、いくら高性能となったスマートフォン(スマホ)と言えど、まともな額を稼ぐにはほど遠いものであったはずです。そのことを考えると、感染者数は非常に多いことが推測されます。

さらにこのANDROIDS_CPUMINERですが、すでに亜種が25個も存在していることが確認できているとのこと。今回、この発見を受けてトレンドマイクロはすでにGoogleに通告済みで、近いうちにGoogle Play Protectで対処されるものと思われます。

記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・モバイル端末向け仮想通貨発掘マルウェア、Google Play で確認 | トレンドマイクロ セキュリティブログ