ウイルス対策アプリに偽装したマルウェア

偽物のKaspersky Internet Security for Androidは、非公式のアプリストアからアプリをインストールすることの危険性を浮き彫りにします。

Kaspersky DailyのAndroid関連の記事では、毎回のように「アプリは必ず公式ストアからインストールする」ことをお勧めしています。少し前にも、人気のメディアプレーヤーやフィットネスアプリ、読書アプリなどに偽装したバンキング型トロイの木馬が見つかりました。この一件は、私たちとしては人ごとではありませんでした。偽装されたアプリの中に、Kaspersky Internet Security for Androidが含まれていたのです。

非公式のストアからアプリをインストールすることが危険な理由

非公式のアプリストアそのものに問題があるわけではありません。しかし、そのようなストアが間違いなく信用できるものか、誰にも分からないのが現状です。Google PlayやHuawei AppGalleryのような公式のAndroidアプリストアでは、開発元が申請したアプリをストア運営企業の社員がすべて審査し、明らかに悪意あるアプリを排除しています。こうした企業は、自社の評判と顧客の安全を守るためのリソースも意欲も持ち合わせています。

そうはいっても、マルウェアが審査をすり抜けてしまうことはあります。Google Playも例外ではありません。しかしそれでも、Google Playでマルウェアに遭遇する確率は、ネット掲示板、トレントトラッカーその他のWebサイトよりもずっと低いのです。小規模の独立系アプリストアの場合、基本的にリソース不足であるため多くを確認できない傾向にあり、結果として別のもののふりをした何かがストアに掲載されてしまう可能性があります。

ただし、マルウェアをAndroidデバイスにダウンロードしただけでは、普通は感染に至りません。何らかのゼロデイエクスプロイトを利用してスーパーユーザー権限を取得するようなマルウェアであれば話は別ですが、マルウェアがインストールされるには多少の手間を要します。Android OSは、インストールの局面ごとに「アプリを本当にインストールしてよいか」「アプリが要求する権限を付与することに同意するか」といったことを利用者に確認します。そこでサイバー犯罪者は、利用者に「はい」を選択させようとソーシャルエンジニアリングを繰り出すのですが、これがしばしばうまくいくのです。

非公式マーケットプレイスで配布される悪意あるセキュリティアプリ

ここで一つ例を挙げましょう。少し前のことですが、さまざまな偽サイトを通じて配布されているAndroid向けアプリに関するレポートが公開されました(英語記事)。そういったアプリの中に、Kaspersky Internet Security for Androidの偽物も含まれていました。

この偽アプリは「Kaspersky Free Antivirus」という名前で配布されていました(当社では以前、この名前の製品を提供していたことがありましたが、Android向けではなくWindows向け製品でした)。Google Playで当社から提供中のウイルス対策アプリは、現在「Kaspersky Mobile Antivirus: AppLock & Web Security」という名前です(日本語版は「カスペルスキー インターネット セキュリティ for Android」。Google Play上での表記は「カスペルスキー インターネット セキュリティ」)。

この偽のウイルス対策アプリは、「TeaBot」という名前のバンキング型トロイの木馬です。当社のセキュリティ製品では、このマルウェアを「HEUR: Trojan-Banker.AndroidOS.Teaban」または「HEUR: Trojan-Banker.AndroidOS.Regon」の検知名で検知・ブロックします。

この偽アプリ問題は、ウイルス対策アプリの場合、特に厄介です。ウイルス対策アプリというものは、マルウェア検知のために多くの権限を必要とします。その中には「ユーザー補助」のように非常に強力な権限もあります。したがって、偽装したバンキング型トロイの木馬をダウンロードしてインストールしてしまうというだけでなく、悪意あるアプリが要求する権限を許可してしまうということでもあるのです。

さらに、本物のウイルス対策アプリがインストールされていないスマートフォンの場合、マルウェアを検知することができません。

要求された権限をすべて付与してインストールを完了すると、TeaBotはAndroidデバイス上でほぼ何でもできる状態になります。キー入力を盗み見る、Google Authenticatorのコードを盗み取る、ユーザー補助機能を悪用して何かする、Androidデバイスを遠隔で完全にコントロールするなど、可能なことは多岐にわたります。

偽のアプリをインストールしないために

TeaBotが偽装するのは、ウイルス対策アプリだけではありません。知名度の高い行政アプリや金融系アプリ、フィットネスアプリ、読書アプリにもなりすましています。被害に遭わないためには、不明なアプリのインストールを全面的に無効にしましょう。必要なアプリがある場合は、どういった種類のアプリであっても、公式のアプリストアで探してください。

アプリに対して付与する権限についても、慎重になりましょう。例えば、フィットネスアプリがユーザー補助の権限を要求してきた場合など、アプリの動作に直接関係なさそうな権限が要求された場合は、承諾する前によく考えてください。

最後に、ウイルス対策アプリは正規のアプリを使用しましょう。カスペルスキー インターネット セキュリティ for Androidには無料バージョンもあるので、非公式のストアからダウンロードする必要はありません。カスペルスキー インターネット セキュリティ for AndroidはGoogle PlayとHuawei AppGalleryにて配布されています。

ヒント