Google Playストアに144個のマルウェア「Grabos」が見つかる!すでにGoogleが削除済み

McAfeeは16日、Android向けアプリ配信マーケット「Google Playストア」にマルウェア「Grabos」が仕組みれた144個のアプリが配信されていることを発見したと発表しています。

すでに同社では、Google Playストアを運営するGoogleにこれらのアプリを通報済みで、Googleではすでにそれらのアプリを削除済みとしているため、感染者が新しく増えることはないと考えられます。


今回見つかった144個のマルウェアの変数名やメソッド名を含むコードのいくつかに「Grabos」とという文字列が含まれていることから、McAfeeではこのマルウェアを「Grabos」と名付けています。

一番初めに見つけたGrabosは、Google Playストアにて「Aristotle Music audio player 2017」という音楽アプリとして配信されていたとのこと。このアプリ自体の評価は非常に高く、インストールされた台数は100〜500万台にも上っていましたが、Google Playストアの最新コメントにマルウェアとして検出されたと投稿されています。

Grabosはファイル管理アプリや音楽プレーヤーアプリなどの一見無害に見える便利なアプリに組み込まれており、アプリを起動する度にフェイク機能であるファイル管理や音楽プレーヤーを起動するか、マルウェアを起動するかを決定します。


例えば、先述のAristotle Music audio player 2017の場合ではアプリを立ち上げると始めにロード画面が表示され、フェイク機能を立ち上げるか、マルウェアを実行させるか判断を行います。

アプリを実行したAndroid搭載製品のUSBデバッグ機能が有効化されていたり、エミュレーターで動いていると検知できた場合は、その製品をブラックリストに追加し、次回以降はフェイク機能が立ち上がるようになります。

また、このGrabosはスパムメール配信やDDoS攻撃などのマルウェアに感染させられてボット化した機器に対してインターネットを通じて指示や制御を行うC&Cサーバーと通信しており、すでにその製品が解析済みであることをサーバーから通知することで、同じくブラックリストに追加してフェイク機能が立ち上がるように仕込まれています。

恐らく、こうすることで利用者にマルウェアに感染していることを気付かせずに、感染した機器を潜伏させてさらに次なる攻撃を行おうとしていたかもしれません。

またGrabosはこのようにC&Cサーバーと通信を行い、以下のようなさまざまなデータをBase64やAESで暗号化して収集しているということです。

• デバイス情報
 - Androidバージョン
 - モデル
 - インストールリファラー
 - ネットワーク情報
 - SIM情報
 - 通信キャリア
 - 言語コード
 - 国コード
 - タイムゾーン
• デバイスの場所
• デバイス構成
 - エミュレーターされているかどうか
 - ルート化されているかどうか
 - ADBが有効化されているかどうか
 - 開発者設定が有効化されているかどうか
 - 疑似ロケーションが許可されているかどうか
 - 提供元不明アプリのインストール許可がなされているかどうか
 - VPN通信かどうか
 - 市販の難読化ツールが提供するルート化アプリ、デバッグアプリ、エミュレータが導入されているかどうか
• インストールされたGrabosのバージョン情報等
• 特定のアプリケーションがインストールされているかどうか


Facebookなどをはじめとした有名アプリやGoogleの法人向けアプリがインストールされているかどうかを確認し、インストールされていれば「True」、インストールされていなければ「False」として、記録してC&Cサーバーへ送信します。

McAfeeではこの機能がなぜ実装されているのか明確な意図は不明ながら、Grabosにはカスタムプッシュ通知を使って、偽アプリをインストールさせる機能が実装されているため、この機能でインストールされていないアプリに偽装したアプリをインストールさせて、さらなる感染を試みようとしていると推測しています。

これまでにもAndroid向けマルウェアをいくつか取り上げてきましたが、今年に入ってから攻撃手段や解析者から自身を解析しづらくさせるなど、急激に高度化しているように感じます。

今まではAndroidを利用する際はそこまでセキュリティー意識せずともある程度セキュリティレベルを保てていましたが、もうそんな甘いことは言っていられない時代がやってきてしまったように感じます。

毎回お知らせしていますが、スマートフォン(スマホ)やタブレットについてもパソコン(PC)と同じようにセキュリティーについてきちんと意識して安全に利用していきたいところです。

記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・144個のGoogle Playアプリに新種のAndroidマルウェアを発見