Harly : Google Playのアプリに潜むトロイの木馬

購読サービス登録型トロイの木馬「Harly」は、どのようにAndroidユーザーを狙っているのでしょうか。

購読サービス登録型トロイの木馬「Harly」は、どのようにAndroidユーザーを狙っているのでしょうか。

これまで公式Google Playのアプリから、あらゆる種類のマルウェアが見つかっています。多くのアプリは、厳正な審査を受けていますが、残念ながらモデレーターが発見する前にGoogle Playに公開されてしまうケースがあります。こういった類のマルウェアのなかでも最も頻繁に確認されているのが、購読サービス登録型トロイの木馬です。これに感染するとユーザーは、知らない間に有料サービスに登録されてしまいます。 同じ種類のトロイの木馬のなかには、「Jocker」「MobOk」といったものがあり、過去の 記事 (英語記事)でも触れてきました。なかでもHarlyのメカニズムは、Jockerに似ているため、DCコミックスのJockerの パートナー の名前をアレンジして、Harlyと呼ばれています。この2つのトロイの木馬は、同じ起源を持つと考えられています。

Harlyとは何か

2020年以来、Google PlayでHarlyに感染しているアプリが、190個以上見つかっています。これらのアプリは、控えめに見積もっても、480万回以上ダウンロードされていると推定されていますが、実際はそれ以上だととみられています。

harly-trojan-subscriber

harly-trojan-subscriber

Jockerと同じように、Harly系のトロイの木馬は、認証済みの正規のアプリになりすましています。では、どのような仕組みなのでしょうか。まず詐欺師は、元の正規のアプリをGoogle Playからダウンロードして、それに悪意のあるコードを挿入します。それに異なる名前を付け、感染したものをGoogle Playに登録します。この偽アプリにも、説明欄に書かれている機能がついているため、多くのユーザーは疑いもなくダウンロードして使用を始めてしまいます。

Harlyマルウェアを含むGoogle Play上のアプリ(さらなる例)

Harlyマルウェアを含むGoogle Play上のアプリ(さらなる例)

Jocker系トロイの木馬のほとんどは、 多段階式のダウンローダー (英語記事)でした。それらは、詐欺師のC&Cサーバからペイロードを受信します。一方、Harly系のトロイの木馬は、アプリ内にすべてのペイロードが含まれ、異なる手法でそれを復号化し、起動します。

支払いに関する不満が書かれたレビュー

支払いに関する不満が書かれたレビュー

Harlyの仕組み

com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7)というアプリを例に見てみましょう。これはGoogle Playで、1万回以上ダウンロードされている懐中電灯のアプリです。

Harly に感染しているアプリ

Harly に感染しているアプリ

アプリを起動すると、以下の画像のように怪しげなライブラリが読み込まれます。

ライブラリ

ライブラリ

このライブラリが、アプリのリソースからファイルを復号化します。

アプリのリソースからファイルを復号化

アプリのリソースからファイルを復号化

興味深いことに、このマルウェアの作成者は、Go や Rust といったプログラミング言語を使っています。しかし、悪意のある SDK (英語ページ)の復号化と読み込むスキルしか持っていないと考えられています。

その他の購読サービス登録型トロイの木馬と同じように、Harlyは、ユーザーのデバイスに関する情報、特にモバイルネットワーク関連の情報を収集します。ユーザーの携帯はモバイルネットワークに切り替えられ、それからトロイの木馬が定期購読するアプリのリスト設定をC&Cサーバに要求します。

Harlyは、タイのオペレーターでのみはたらくように仕組まれています。まずモバイルネットワークコード MNCs (リンク先は英語ページ)、ネットワーク業者が持つ独自のIDをみて、タイのユーザーかどうかを確認しています。

MNCの確認

MNCの確認

しかし、テストでMNCが中国電信(チャイナ・テレコム)のコード(46011)を使用していること、その他の手掛かりを考慮すると、マルウェア開発者は、中国国内にいると考えられています。

テスト MNC

テスト MNC

Harlyは、目に見えない形で購読サービスの登録を行うために、アドレスを開きます。そしてJavaSciptを挿入してユーザーの電話番号を入力し、必要なボタンをタップして、テキストメッセージで受け取った確認コードを入力します。その結果、ユーザーは知らない間に定期購入の料金を支払ったことになります。

さらに、このトロイの木馬は、テキストメッセージコードでプロセスが保護されている場合だけでなく、電話のプロセスが保護されている場合でも、購読サービスを登録させることができます。この場合、トロイの木馬は特定の番号に電話をかけて購読登録を完了しています。

当社の製品は、これまでにお話ししたTrojan.AndroidOS.HarlyおよびTrojan.AndroidOS.Piomといった危険な偽アプリを検知しています。

購読サービス登録型トロイの木馬の被害に遭わないために

公式のアプリストアは、マルウェアを含むアプリが拡散しないよう様々な対策を行っています。しかし、100%必ずしも対処できるとは限りません。アプリをインストールする前に、まずGoogle Play上のユーザーレビューを読み、評価を確認することをお勧めします。もちろん、レビューや評価が、偽物の場合もあります。このような種類のマルウェアにだまされないよう万全の準備をするには、信頼できるセキュリティソリューションをインストールすることをお勧めします。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?