世界中が熱狂したサッカーの祭典、ロシアW杯はフランスの優勝で幕を閉じた。日本でも多くの視聴者がテレビなどで観戦を楽しんでおり、時差の関係で寝不足になってしまった人もいるかもしれない。
しかし、スポーツファンや観戦者などが集まるイベントの最中を狙う、悪意ある攻撃者もいる。世界的に注目度の高い催しは、犯罪者にとっての格好の“釣り餌”にされやすいのが現状だ。
W杯に便乗するかのようにあらわれ、Google Playに配信された「Golden Cup」は、ユーザーのデバイスにスパイウェアをインストールするアプリ。現在および過去の試合の記録を検索したり、試合をストリーミングする機能を提供しているとうたっていた(すでにGoogle Playストアから削除済み)。
このアプリを起動すると、マルチメディアコンテンツやイベントに関する情報を表示する。このデータのほとんどは、悪意のある活動とは関係ないウェブサービスからのもの。しかし、バックグラウンドで、ユーザーの同意を得ることなしにデバイス情報を別のサーバーに転送する性質を持つのが厄介だ。
サイバー攻撃においては、ユーザーを誘惑するため、世界的なスポーツイベントを利用することが多い。たとえば今年1月、冬季五輪が開催された韓国では、インフラ提供や支援業務を担当する組織の関係者を狙い撃ちして、不正なMicrosoft Word文書が電子メールに添付されて送られてくる事件が起きた。
また、マカフィーでは2月、五輪の関連組織を標的としたサイバー攻撃である「Gold Dragon」の存在を報告している。企業の顧客や従業員の金融情報または個人情報、運営に関する詳細情報、企業の機密情報などを狙うものだった。このように、多くの人が関わり、個人情報や大金が絡んでくるイベントには、それを狙う犯罪がつきまとう。
W杯や五輪のような、国際的なスポーツイベントに便乗した悪意ある攻撃には、どのような対策ができるだろうか。フィッシングメールやニセのアプリによる攻撃が多いため、まず、デバイスのセキュリティ環境を常に最新の状態に保つ、十分なセキュリティ対策でデバイスを保護するのは基本。電子メールなどに記載されたURLをクリックする前に正規なものかどうか確認する、公式のアプリストアを利用する(非公式のアプリマーケットは利用を控える)のも鉄則だ。
ただ、今回のようにGoogle Playを介してアプリが配信されていた場合はどうだろう? まず、無意味なアプリ名称、詳しくないアプリ説明、ユーザーレビューがない……など、アプリがあやしく思えたなら、ダウンロードを控えたほうがよいだろう。
アプリがリクエストするパーミッションが、そのアプリの機能と関係があるかどうかも注目したい。たとえば、デバイス管理者の権限が要求されたときは要注意。この権限は、セキュリティ製品や、メールクライアントなどで使用されるべきものであり、通常のアプリやゲームではなかなか使用されないからだ。
今回は、W杯にあわせて配信されたスパイウェアの詳細を解説したMcAfee Blogの記事を紹介しよう。
Google Playで配信されたスパイウェア
「Android/FoulGoal.A」にイエローカード!
世界中のサッカーファンがワールドカップでの各国代表チームの活躍に熱狂しています。その一方で、Google Playに配信された最近のスパイウェアによる攻撃は、残念ながら美しい試合を時折傷つけています。フィッシングメールではユーザーを誘惑するために災害やスポーツイベントを利用することが多いため、ソーシャルエンジニアリングの手口としてビッグイベントを利用することは新しいことではありません。
「Golden Cup」は、ユーザーのデバイスにスパイウェアをインストールする悪意のあるアプリです。 Google Playを介して配信され、現在および過去のワールドカップの記録を検索したり、試合をストリーミングする機能を提供していました。McAfee Mobile Securityは、この脅威をAndroid/FoulGoal.Aとして検知します。すでにこの悪質なアプリケーションはGoogle Playストアから削除されています。
このアプリはインストールされると、典型的なスポーツアプリであり、マルチメディアコンテンツやイベントに関する一般的な情報を表示します。このデータのほとんどは、悪意のある活動を行わないWebサービスからのものです。しかし、バックグラウンドで、ユーザーの同意を得ることなしにデバイス情報を別のサーバーに転送します。
データの収集
このスパイウェアは、感染デバイスから多くの端末情報を収集します。
- 電話番号
- インストールされたアプリ
- デバイスモデル、製造元、シリアル番号
- 使用可能な内部ストレージ容量
- デバイスID
- Androidバージョン
- IMEIやIMSI番号
このスパイウェアによるデータ収集はより大きな感染の第一歩にすぎません。このスパイウェアは外部ソースのdexファイルをロードする機能を有し、C&Cサーバーに接続して、より悪質な動作を行うための第2ステージをダウンロード、解凍そして展開して、攻撃を拡大させます。
Android/FoulGoal.Aは、画面のオン/オフを検出し、これを内部ファイルscrn.txtに記録し、ユーザが画面を見ているときに「on」または「off」の文字列を記録します:
また、感染デバイスと悪意のあるサーバーとの間の通信チャネルとしてMQTT(Message Queuing Telemetry Transport)通信プロトコルを使用してコマンドを送受信します。
データの暗号化
収集されたユーザーデータは、制御サーバーに送信される前にAES (Advanced Encryption Standard)共通鍵暗号アルゴリズムで暗号化されます。Cryptorクラスは、暗号化と復号の機能を提供し、doCrypto関数は共通関数として定義されています。関数の最初のパラメータが「1」の場合には暗号化、「2」の場合にはデータやファイルの復号を行います。
難読化のための暗号鍵は、SecureRandom関数を使用して動的に生成されます。addKey関数は、生成した暗号鍵を送信データに埋め込みます。暗号鍵を含まれたデータが制御サーバーにアップロードされます。
マルウェア作者は、Google Bouncerとネットワーク検査製品の検出を逃れるために、アップロードデータをAES暗号化手法により難読化しています。
私たちの分析によると、少なくとも300件の感染があり、最初のワールドカップ試合が始まる前の6月8日~12日までの間に発生したと推測しています。
第2ラウンド
攻撃の第2段階では、暗号化されたdexファイルが利用されます。ファイルは .data 拡張子を持ち、C&Cサーバーからダウンロードされ、第1段階のマルウェアによって動的にロードされます。暗号化されたファイルをアップロードするのと同じメカニズムでdexファイルが抽出されます。埋め込まれた暗号鍵の位置は、コンテンツサイズと第1段階のマルウェア内にハードコードされた固定値から識別することができます。
復号後、zip形式でout.dexというファイルを発見しました。このdexファイルには、SMSメッセージ、連絡先、マルチメディアファイル、端末の位置情報といった感染デバイスに対するスパイ機能が含まれています。
第2段階の制御サーバーは、第1段階の制御サーバーとは異なりますが、データの暗号化方法やサーバー上のフォルダ構造は最初の段階と同じです。
私たちは、制御サーバー上に暗号化されたある被害者のGPS位置情報や音声ファイル(3gp形式)を発見しました。
スパイウェアの亜種
私たちは、同じ作者によって作成され、出会い系アプリとしてGoogle Play上で公開されたこの脅威に関連した2つの亜種を発見しました。すべてのアプリはGoogle Playから削除されていますが、私たちのテレメトリーデータによると、一部のユーザー端末においてこのスパイウェアは活動し続けています。
私たちのテレメトリーデータは、このアプリをダウンロードした大部分は中東地域のユーザーであることを示しています。おそらく、ワールドカップを話題にしたヘブライ語のTwitterの投稿によりこのスパイウェアのアプリが拡散されたことに起因しているためでしょう。
McAfee Mobile Securityのユーザーは、この脅威のすべての亜種はAndroid/FoulGoal.Aとして検知され、保護されています。
