モバイル向けセキュリティベンダーの米Lookoutは4日、正規アプリの皮をかぶり、端末を自動でルート化するアドウェアについて報告した。
同社では、トロイの木馬化したアドウェアを2万件以上検出しており、その多くが「Facebook」「Twitter」「SnapChat」「WhatsApp」「Candy Crush」「Google Now」「NYTimes」や、2段階認証アプリ「Okta」など、正規のアプリになりすましていると指摘。これらは、正規のアプリに悪意のあるコードを挿入して再パッケージし、サードパーティーのアプリストアで公開されているという。
2段階認証アプリ「Okta」にアドウェアをパッケージしたもの。現在、OktaではLookoutと共同で対策を検討している
このため、端末をルート化するコードが含まれるものの、通常のアプリの機能を持ち合わせているため、本来のアプリとして利用できてしまう。端末をルート化したアドウェアは、システムアプリとして自身をインストールするため、削除はほぼ不可能。これらのアドウェアは、米国、ドイツ、イラン、ロシア、インド、ジャマイカ、スーダン、ブラジル、メキシコ、インドネシアで多く検出されているという。
Lookoutが検出した2万件以上のアプリに含まれていたアドウェアは、3種類のアドウェアが含まれるように再パッケージされている。端末の自動ルート化を行い、自身をシステムディレクトリに隠す「Shuanet」、端末をルート化し、追加のペイロードアプリをインストールする「kemoge(別名ShiftyBug)」、トロイの木馬化されたアドウェア「Shedun(別名GhostPush)」。
3種類のアドウェアには相関関係があるとしており、コードの71~82%が類似しているため、アドウェア作成者が同じコード片を用いてそれぞれのルート化アドウェアを作成したとLookoutでは指摘している。また、3種類のアドウェアは共有のエクスプロイトを使用。ShiftyBugの場合では、より多くの端末をルート化するよう、少なくとも8種類のエクスプロイトがパッケージ化されていたとしている。
従来のアドウェアでは、感染すればすぐに検知できたため、ユーザー側でアンインストール可能だったが、今回のものはユーザーに検知されずにバックグラウンドで動作する。また、ユーザーが気付かないうちに端末をルート化し、他の正規アプリも端末のルート権限を取得できるため、他アプリが作成したファイルなど、通常ではアクセスできない領域にも無制限でアクセス可能になるという。
(山川 晶之)
関連リンク Lookout公式ブログの該当記事(英語)https://blog.lookout.com/blog/2015/11/04/trojanized-adware/
関連記事
LINEのメッセージを窃取する遠隔監視アプリ、日本で市販中、米Lookoutが問題視
2015年7月2日