Googleの広告に潜むトロイの木馬

正規サイトしか利用しないように気を付けていても、マルウェアに感染する恐れはあります。Google Chromeの脆弱性を突いてGoogle AdSense経由で攻撃するトロイの木馬が発見されました。

svpeng-ads-featured

怪しいサイトにアクセスしなければ、マルウェアに感染しないはずでは?残念ながら、答えはNoです。信用できないメールの添付ファイルを開かず、アダルトサイトにも近寄らず、非公式のストアからアプリをインストールしない人ですら、十分に保護されているわけではないのが現状です。

とある最近の事例は、間違いなく正当なサイトであってもマルウェアが見つかる可能性のあることを示唆しています。318,000人のAndroid利用者のデバイスが、Google AdSenseの広告を経由してバンキング型トロイの木馬「Svpeng.q」に攻撃されたのです(当社エキスパートによる英語レポート当社日本語ニュース)。

Google AdSenseは、世界最大の広告ネットワークです。このネットワークを利用して悪意あるプログラムを世界中に広める方法はないものかと、大勢の犯罪者が夢見ているわけですが、Svpeng.qの作成者はこの夢をものにした格好です。

犯罪者たちによって設置されたバナーは、難読化されたスクリプトの力を借り、Svpeng.qのインストールパッケージを自動ダウンロードしていました。通常ならば、危険性のあるファイルをダウンロードしようとすると、Chromeブラウザーから警告が表示されます。そこで、犯人は特別な機能を使い、Svpeng.qを分割してダウンロードするようにしました。このため、誰にも気づかれずにコンピューターへ侵入できたのです。

このスクリプトは、タッチスクリーンデバイスのChromeブラウザー上で起動されたときだけ動作するように設定されていました。こうして、ターゲットはAndroidのタブレットとスマートフォンの利用者に絞り込まれました。Svpeng.qはAndroid用に書かれたトロイの木馬ですから。

Svpeng.qの詳細については、Securelistに公開されたレポート(英語)をご参照ください。一言で言うと、他のバンキング型トロイの木馬と大差ありません。主な役割は、オンラインバンキングのインターフェイスに偽のインターフェイスを重ねて表示し、クレジットカードのデータをコピーして犯人に送り返すことです。その後、犯人はこのデータを利用して、標的の財産を盗みます。

当社はこの調査結果をGoogleに報告しました。Googleの開発チームはGoogle Chromeの修正パッチを作成し、警告メッセージの表示を迂回されるセキュリティホールに対処しました。

注目したいのは、Svpengをダウンロードしただけでは感染せず、感染するには利用者によってインストールされる必要がある点です。このため、Svpengはインストールファイルの名前をAndroid_update_6.apkやInstagram.apkにするなど、何とかして利用者を欺こうとしています。この戦術は、うまくいっているようです。

広告に潜むトロイの木馬から身を守るには

合法的なサイトであっても、意図せず訪問者を危険に晒す可能性があります。次に挙げるアドバイスを参考に、自己防衛しましょう。

  1. いつ、どうやって手に入れたのかよくわからないファイルは、決して開かないでください。ファイルの名前が「android_update.apk」だからといって、それがシステムのアップデートファイルだとは限りません。正規のアップデートがあるかどうかは、[設定]の[端末情報]で確認できます。
  2. サードパーティのストア(公式ストアではないアプリストア)から入手したアプリのインストールを許可しないでください。この設定は、どのAndroidデバイスにもあります。許可しない設定にしておくと、偽アップデートのインストールを誤って許可してしまっても、システム側でインストールを停止してくれます。
  3. 本物のアップデートプログラムが公開されたら、すぐにインストールしましょう。また、Androidデバイス上のGoogle Chromeは、できるだけ速やかにアップデートしてください。アップデートはすぐに済みます。アップデートのちょっとした手間で、何か起きた場合に取られる時間と手間が省けますし、財産を守ることにもなります。
  4. 手持ちのデバイスには、それぞれアンチウイルス製品をインストールしましょう。今回のようなケースでは、リアルタイムで防御する機能を持つセキュリティ製品が効果的です。手動で起動しなければならないオンデマンドのアンチウイルススキャナーでは、こうはいきません。Svpengは一般的なセキュリティ製品のプロセスを強制終了することができるので、スキャナーは起動できないことでしょう。有料版のカスペルスキー インターネット セキュリティ for Androidは、Svpengを「Trojan.Banker.Androidos.Svpeng.Q」の検知名で検知し、ブロックします。
ヒント