当社では最近、WhatsAppのMod(改造版)である「FMWhatsApp」のあるバージョンに、トロイの木馬が含まれていることを発見しました(英語記事)。このトロイの木馬「Triada」は、さらに別のマルウェアをダウンロードします。なぜこのようなことが起きたのでしょうか。そして、改造版WhatsAppを使用することがなぜ危険なのでしょうか。
WhatsAppの改造版が出回る理由
公式版WhatsAppの機能に対しては、皆が満足しているわけではありません。自然消滅するメッセージを送る機能が欲しいという人、それとは反対に他の利用者が消したメッセージを見る機能が欲しいと思う人、ダイナミックなテーマを求める人、特定のチャットを隠したい人、自動翻訳機能を希望する人など、さまざまな機能に対する要望があります。
当然ながら、こういった機能は今すぐ使いたいわけで、WhatsAppに導入されるのを待っていられない人は少なくありません。そこで、改造版WhatsAppへの需要が出てきます。改造版WhatsAppはかなり多く、オンラインですぐに見つかります。
WhatsAppはこういった改造版を時折取り締まったり、アカウントを停止したりなどして対抗していますが、改造版を求める人は後を絶ちません(リンク先は英語)。
WhatsApp改造版には、人々が求める機能のほかに、広告が含まれていることがよくあります(これは理解できるところです)。しかし、サードパーティーの広告モジュールが組み込まれていることは、開発者の知らぬ間に悪意あるコードが入り込むことにつながります。
FMWhatsAppに含まれていたTriada
まさにそれこそ、広く普及している改造版WhatsApp「FMWhatsApp」に起きたことでした。バージョン16.80.0に使用されたサードパーティーの広告モジュールに、トロイの木馬が含まれていたのです。当社のAndroid版セキュリティ製品は、このマルウェアを「Trojan.AndroidOS.Triada.ef」として検知およびブロックします。
似たような事例は、2021年春にもありました。非公式のアプリストア「APKPure」のアプリが、信頼性の不明な提供元の広告モジュールを使用していたために、APKPureアプリにマルウェア「Triada」(今回のものとは若干異なるバージョン)が埋め込まれた状態となりました。
FMWhatsAppに埋め込まれたTriadaは、APKPureの場合と同様に中間的役割を果たします。まずはデバイスに関するデータを集め、得られた情報に基づいて別のトロイの木馬をダウンロードします。
Triadaがダウンロードするトロイの木馬は、さまざまな機能を持っています。感染したFMWhatsAppの場合、以下のマルウェアがダウンロードされます。
- Trojan-Downloader.AndroidOS.Agent.ic:別の悪意あるモジュールをダウンロードするトロイの木馬。
- Trojan-Downloader.AndroidOS.Gapac.e:別の悪意あるモジュールをダウンロードして実行し、予期せぬタイミングで全画面広告を表示することも可能。
- Trojan-Downloader.AndroidOS.Helper.a:トロイの木馬「xHelper」のインストーラーモジュールをダウンロードして実行し、見えない広告をバックグラウンドで表示(リンク先は英語)。
- AndroidOS.MobOk.i:有料サブスクリプションにサインアップするトロイの木馬。
- AndroidOS.Subscriber.l:有料サブスクリプションにサインアップするトロイの木馬。
- AndroidOS.Whatreg.b:この中で最も複雑なトロイの木馬。感染先のデバイスからWhatsApp アカウントにサインインし、ログイン確認のテキストメッセージを傍受。こうしてデバイスは、スパム配信や違法取引といった非合法は活動に利用可能な状態となる。
FMWhatsappに潜むTriadaの詳細については、Securelistの記事(英語)をご覧ください。
このような攻撃を防ぐには
マルウェアその他の厄介なものがスマートフォンに入り込むのを防ぐには、用心を怠らないこと、そしてデバイスを安全に利用することが重要なポイントとなります。一般的には、以下の対策が有効です。
- 非公式のアプリストアからアプリをインストールしない。また、提供元不明のアプリのダウンロードを拒否するようにデバイスを設定する(非公式のアプリストアからどうしてもアプリを入手する必要がある場合には、いったんこの設定を解除し、インストールしたら設定を元に戻してください)。
- 公式のメッセンジャーアプリのみを使用する。さらに、アプリは必ず公式アプリストアから入手する。希望する機能が公式アプリにない場合もありますが、マルウェアが入り込むこともありません。
- インストール済みアプリに与えた権限を見直す。権限によっては、大きなリスクとなる場合があります。
- 信頼できるモバイル版セキュリティアプリをインストールし、アプリが表示する警告に注意を払う。