APKPure:感染したAndroidアプリストア

APKPureに悪意あるコードが含まれることが判明。Androidデバイスにマルウェアをダウンロード可能な状態となっていました。

マルウェアをインストールしてしまう可能性をできるだけ低くするには、必ず公式のアプリストアからアプリをダウンロードすること—当社では、折りに触れてその重要性をお伝えしてきました。しかし、非公式のアプリストアは、悪意あるアプリが紛れていることがあるだけでなく、ストアのアプリ自体も安全でないかもしれません。当社の最近の調査で、Android向けの非公式アプリストアであるAPKPureに悪意あるコードが含まれており、別のマルウェアをダウンロードしていたことが分かりました(英語記事)。

APKPureとは

Androidアプリの公式ストアといえばGoogle Playです。しかし、Google PlayはGoogleモバイルサービス(Google Mobile Service:GMS)を使用しているデバイスからでないと利用できません。Googleからの独立性を保ちたいと考える一部ベンダーは、GMSライブラリの使用を避けています。

これは利用者からすると、長所と短所の両側面があります。Android を利用する際にアプリの入手先であるGoogle Playにアクセスできないというのは、大きな短所です。

そこで登場するのが公式ストアのGoogle Playに代わるアプリストアで、APKPureもそういったストアの一つです。APKPureで扱うのは、無料のアプリかシェアウェアのみです。APKPureは、このストア内のアプリはすべてGoogle Play内にあるものと同じであると述べており(英語)、Googleによる審査を通過した安全なアプリであることを示唆しています。

APKPureに何が起きたのか?

APKPureのストア内アプリは審査をすべてクリアしているかもしれませんが、APKPureアプリ自体はそうではありません。今回の件は、CamScannerの件に似たところがあります。CamScannerというアプリには、信頼性の不明な提供元による広告用SDK(アプリ内に組み込めるコンポーネント)が実装されていましたが、これが悪意あるSDKであったことが判明したという一件でした。APKPureも同様の形で、悪意あるコードが埋め込まれた状態になったと見られます。

APKPureのバージョン3.17.18にも、ドロッパー型トロイの木馬が埋め込まれた広告用SDKが含まれていたようです。このマルウェアは、起動するとペイロードをアンパックして実行し、ロック画面上に広告を表示する、ブラウザーのタブを開く、デバイスの情報を収集するなどの動作を実行可能です。中でも厄介なのは、別のマルウェアをダウンロードするという動作です。

なお、カスペルスキー製品は、このドロッパー型トロイの木馬を「HEUR:Trojan-Dropper.AndroidOS.Triada.ap」として検知およびブロックします。

APKPure がインストールされていた場合、デバイスに何が起こる可能性がある?

このドロッパー型トロイの木馬によってどのようなマルウェアがダウンロードされるのかは、Androidのバージョンと、セキュリティアップデートの適用具合によって異なります。

むやみにroot権限を与えないようになっている比較的最近のAndroid OS(Android 8以降)の場合、Triadaというトロイの木馬がダウンロードされます。Triadaは、有料のサブスクリプションサービスを購入する、別のマルウェアをダウンロードするなどの機能を持っています。

Android 6または7が稼働するデバイスで、さらにセキュリティアップデートがインストールされていない(または、ベンダーからアップデートがリリースされていない)場合は、root化がしやすいため、xHelperというトロイの木馬(英語)がダウンロードされる可能性があります。このマルウェアは削除が難しく、工場出荷時の状態にリセットしても削除できません。root権限を持ったxHelperを通じ、攻撃者はデバイス上で何でもできる状態となります。

APKPureは、今は使っても安全な状態になっている?

当社は4月8日、本件をAPKPureへ連絡。4月9日、APKPureの担当者より、問題を認識し現在修正中との返信がありました。その後間もなく、新バージョン(3.17.19)がAPKPureのWebサイトにて公開されました(英語サイト)。説明書きには、「潜在的なセキュリティ上の問題を修正し、使用しても問題ない状態とした」とあります。

当社が確認したところ、APKPure 3.17.19は確かに修正が施されており、悪意あるコンポーネントは含まれていません。

どんな対策を取るべき?

APKPureを使用していないのであれば、この件の影響を受けることはありません。ただ、今後似たようなことが起きないとは限らないので、基本的なセキュリティ対策をどうぞお忘れなく。

  • 公式ストア以外の場所からアプリをダウンロードしない。また、Androidの設定で、公式ストア以外の場所からのアプリダウンロードを阻止するオプションを有効にしておく。
  • 新しいファイルを自動的にスキャンする機能を持つセキュリティアプリを使用する。
  • アプリとOSは定期的にアップデートする。

APKPureを使用している場合は、上記に加えて以下の対策もお勧めします。

  • 問題修正済みバージョンのAPKPure(バージョン3.17.19以降)にアップデートする
  • セキュリティアプリで、デバイスの完全スキャンを行う。
ヒント