お気に入り
便利なアプリをダウンロードする前に警戒を忘れずに
スマホにやっかいなアプリをダウンロードしないためには、やはり公式のアプリストアを利用する(非公式のアプリマーケットは利用を控える)のが重要。不自然なアプリの名称、詳しくないアプリの説明、ユーザーレビューがない……など、あやしく思えたならダウンロードを控えたほうがよいのは鉄則だ。
ただ、無料アプリには、内容とは別に、大量のダウンロードの実績がある場合も多い点には注意したい。アプリをダウンロードするまえに、しっかりレビューを確認しておこう。無料トライアルでアプリをインストールすることにした場合でも、試用期間が終了したとたんに高額な請求をしてくるものもあるので、アプリの説明をよく読んでおくべきだ。
細かいところだが、アプリがリクエストするパーミッションが、そのアプリの機能と関係があるかは気にしておくとよいだろう。とくに、デバイス管理者の権限が要求されたときは要注意だ。この権限は、セキュリティ製品や、メールクライアントなどで使用されるべきものであり、通常のアプリやゲームではなかなか使用されないはず。
また、疑わしいアプリを見つけたら、公式の情報をチェックしてみるのもよい。たとえば「有名なアプリがスマホに移植された」という場合、モバイル版へのリンクが用意されていたり、対応している端末について紹介していたりするはずだ。
もちろん、スマートフォンやタブレットには、信頼のおけるセキュリティソフトをインストールしておくことも重要といえる。
スマホを便利にしてくれるアプリだからこそ、その中身には気をつけたい。今回はMcAfee Blogから「日本と韓国を狙った新たなAndroidスパイウェアをGoogle Playで発見」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
日本と韓国を狙った新たなAndroidスパイウェアを
Google Playで発見:McAfee Blog
日本と韓国を狙ったMoqHaoフィッシング攻撃に使用された新たなAndroidスパイウェアをGoogle Playストアで発見
McAfeeのモバイルリサーチチームは、韓国と日本のユーザーをターゲットにしたMoqHaoと呼ばれるフィッシング攻撃(別名XLoaderやRoaming Mantis)で使用された新種のAndroidマルウェアを発見しました。主に、日本のユーザーをターゲットにした一連のフィッシング攻撃が依然として活発に行なわれている中、今回発見された新しいスパイウェアはこれまで使用されてきたMoqHaoマルウェアとは非常に異なる特徴を有しています。今回発見されたスパイウェアはすべて、日本と韓国のユーザーを対象としており、セキュリティー関連のアプリを装っていました。既存のフィッシング攻撃の配布方法と今回発見されたスパイウェアとの関連性を示唆する証拠として、マカフィーは、Google Playストアで配布されたスパイウェアをインストールするように仕向けたDNSハイジャック攻撃に関連するフィッシングページを発見しました。
Google Playにて配布されていた偽の日本のセキュリティーアプリ
マカフィーでは、Google Playストアにて配布された偽のセキュリティーアプリケーションを2つ発見しました。そのパッケージ名はcom.jshop.testとcom.jptest.tools2019です。なお、これらのスパイウェアは、Google Android Securityチームの協力のもと、発見後すぐにGoogle Playストアから削除されたため、アプリケーションのダウンロード数は非常に少なく、被害を最小限にとどめることができました。
Google Playで配布されていた偽のセキュリティーアプリケーション
この日本向けのスパイウェアは下記4つのコマンドや制御機能を持っています。スパイウェアは、IMEIや電話番号などのデバイス情報を収集し、さらにデバイス上で送受信されたSMS/MMSメッセージを盗もうとします。これらの悪意のあるコマンドはTencent プッシュ通知サービスから感染端末に対して送信されます。
mCommandReceiverクラスへのコマンド登録
サイバー犯罪者はGoogleのセキュリティー審査を回避しGoogle Playストア上でスパイウェアを配布するために、まずは、必要最小限の機能を実装して公開を行なったのではないかと推測しています。
偽の韓国警察アプリ
私たちによるさらなる調査の結果、日本向けのスパイウェアと非常によく似た、韓国のユーザーをターゲットにしたスパイウェアのサンプルを発見しました。韓国向けのスパイウェアは韓国警察のスパイウェア対策アプリケーションとして配布されており、そのスパイウェアのファイルは、台湾のホストサーバー上でcyber.apkというファイル名で配布されていたことを突きとめました。発見したスパイウェアで使用されているアイコンやパッケージ名com.kpo.scanやcom.kpo.helpからも韓国警察アプリを装い、ユーザーをだまそうとしている意図が見えてきます。
韓国警察アプリのアイコンが不正使用されている
韓国向けのスパイウェアは、悪意のあるコードを隠すためにTencent社製の難読化ツールを用いて難読化が施されています。既存のMoqHaoサンプルとの相違点として、既存のサンプルでは、Twitterアカウントを経由してC&Cサーバーのアドレスを取得していましたが、今回発見されたスパイウェアには、C&Cサーバーのアドレスが直接埋め込まれていました。
この韓国向けのスパイウェアは、日本向けのスパイウェア同様に、Tencentプッシュ通知サービスを利用して感染端末にコマンドを送信しています。日本向けのものと比較すると、多くのコマンドが実装されています。
Tencentプッシュサービス
下記の図と表は、スパイウェアに実装されているC&Cコマンドとその動作について解説しています。
mCommandReceiverクラスへのコマンド登録
さらに、韓国向けのスパイウェアでは、いくつかの興味深い機能が実装されています。1つ目は、自動通話発信を実現するために、KAutoServiceクラスには最前面にあるアクティブウィンドウ内のアプリをチェックして自動的に[通話開始]ボタンをクリックするための実装がありました。
KAutoSeviceクラスが自動的に最前面にある通話アプリの通話ボタンをクリックする
2つ目の興味深い機能は、知らない電話番号からの着信に対してユーザーに警告するための迷惑電話対策アプリケーション(例えばwhowho – Caller ID&Block)を無効化する機能が実装されていました。迷惑電話対策アプリが無効されることで、ユーザーに対して不審な電話番号からの着信に対して警告が行なわれなくなってしまうため、サイバー犯罪者によるソーシャルエンジニアリング詐欺を助長してしまうことになるでしょう。
迷惑電話対策アプリケーションを無効にするコード (1)
迷惑電話対策アプリケーションを無効にするコード (2)
既存のフィッシング攻撃とのつながり
これらのスパイウェアの特徴とその構造は、既存のMoqHaoサンプルとは大きく異なりますが、この新しいAndroidスパイウェアと現在活動中のMoqHaoフィッシング攻撃やDNSハイジャック攻撃との関連性を見出すことができたことについて@ZeroCERTと@ninosekiの情報に非常に感謝しています。提供情報によると、偽のChromeアプリがホストされているフィッシングサイトのサーバー側のスクリプトでは、特定の条件において、ユーザーをGoogle Playストア上で公開されていた偽のセキュリティーアプリケーション(https://play.google.com/store/apps/details?id=com.jptest.tools2019)に誘導しています。
サーバースクリプトでGoogle Playの偽のセキュリティアプリへ誘導するコード(出典:@ninoseki)
さらに、今回発見した日本向けと韓国向けのスパイウェアの間には強い相関関係がみられています。共通のスパイコマンド文字列が使用されており、クラウドサービスで利用するためのアクセスキーも同じものが使用されていました。そのため、これらのスパイウェアは現在進行中のMoqHaoフィッシング攻撃に関連していると結論付けることができます。
結論
これらのスパイウェアは、セキュリティーアプリケーションを装い、デバイスの位置を追跡したり、会話を盗聴したりするといったスパイ活動を行なうことを目的としていると考えられます。サイバー犯罪者によるフィッシング攻撃は現在もなお継続して観測されており、新しく作成されたAndroidのスパイウェアが、ユーザーに信頼されている公式ストアを通じて配布された試みはMoqHaoのフィッシング攻撃を画策するサイバー犯罪者において大きな兆候の1つとみなすことができます。
プライバシーを保護し、サイバー攻撃からデータを守るためには、公式のアプリケーションストア以外からアプリをインストールしないでください。ファームウェアを最新の状態に保ち、セキュリティーソフトウェアをインストールして悪意のあるアプリから端末を保護するようにしてください。
McAfee Mobile Securityはこの脅威をAndroid/SpyAgentとして検出し、モバイルユーザーに注意を促すとともに、データの損失を防ぎます。McAfee Mobile Securityの詳細については、https://www.mcafeemobilesecurity.comをご覧ください。
付録
サーバースクリプトでGoogle Playの偽のセキュリティアプリへ誘導するコード(出典:@ninoseki)
※本ページの内容は、2019年8月7日(US時間)更新の以下のMcAfee Blogの内容です。
原文:MoqHao Related Android Spyware Targeting Japan and Korea Found on Google Play
著者: Chanung Pak and Yukihiro Okutomi
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
