マインクラフトのModパックのふりをするマルウェア:続報

悪質なアドウェアであることを隠してGoogle Playで配布されている、マインクラフトModパックやファイル復元アプリがまた見つかりました。

『Minecraft(マインクラフト)』のModパックに偽装したアプリがGoogle Playで20種類以上発見されたことを記事にしたのは、昨年の終盤のことです。多いものでは、ダウンロード数が100万回を超えていました。マインクラフト関連のマルウェアは、今でもGoogle Playに現れています。こういったアプリは期待される働きを一切せず、煩わしい広告をスマートフォンやタブレットに表示します。

最初に起動した後、アプリのアイコンは見えなくなり、何度もブラウザーが立ち上がっては広告が表示されます。アプリは広告を表示する以外にも、YouTube動画の再生や、Google Playのアプリページを開くなどの操作が可能でした。私たちが調べた検体は、2分おきにブラウザーを開くので、実質的にスマートフォンを使えない状況でした。こうなると、何が起きているのか、どのアプリが悪さをしているのか、どうやって止めたらよいのかを突き止めるのが非常に難しく、実に厄介です。

発見したアプリについてGoogleに報告したところ、これらの悪意あるアプリはすぐにGoogle Playから削除されました。

悪意あるアプリの新バージョン

Google Playから削除しても、マルウェアを駆逐できるわけではありません。これまでもそうでしたが、アプリ作成者は、微妙に変更を加えた新バージョンを、別の名前で別の開発元アカウントからアップロードするだけです。

例えば、VKontakte(ロシアのSNS)利用者のアカウントを盗むMusic VKontakte というトロイの木馬がよい例です。この悪意あるアプリは、通報されていたにもかかわらず、Google Playに何年も居座っていました(英語)。

これを念頭に、私たちはGoogle Playで見つけた有害なマインクラフトModパックの件を振り返ることにしました。以前に行った通報が役に立ったのか、確認することにしたのです。似たようなアプリがないか検索したところ、いくつか見つかりました。

改良された新バージョン

見つかったアプリのいくつかは、先に説明した機能を持っていましたが、多少改良されていました。広告を全画面表示せよという攻撃者からのプッシュコマンドを受け取る(ユーザーの操作は不要)のが基本の動きですが、追加モジュールをダウンロードするようにもなっていました。このモジュールをダウンロードするとさらに多くの機能が使えるようになり、アプリのアイコンを隠す、ブラウザーを起動する、YouTubeの動画を再生する、Google Playのアプリのページを開く、といった操作が可能になります。

今回見つかったアプリには、マインクラフトのModパックのほかに、「File Recovery – Recover Deleted Files」という名前のファイル復元アプリも含まれていました。2021年2月までGoogle Playで提供されていたバージョン1.1.0には、悪意あるペイロードが含まれていました。現在はこのバージョンは削除されており、安全なバージョン1.1.1がGoogle Playに上がっています。

アプリ内購入付きのシンプルバージョン

次に、基本的な機能を持つマインクラフトModパックが見つかりました。アプリが起動していないときでも時折全画面広告を表示しますが、アプリのアイコンを隠したり、ブラウザーやYouTube、Google Playを実行したりすることはできません。さらなる収益化のために、アプリ内購入機能が使用されています。

Google Playで見つかった悪意あるマインクラフトModパックの例

Google Playで見つかった悪意あるマインクラフトModパックの例

興味深いことに、こうしたModパックの一つは現在、アプリ内購入が可能な「ベーシック版」として配布されています(数か月前は、ダウンロード可能な追加モジュールが必要でした)。ここから、さまざまな収益化オプションをアプリ作成者が実験していると考えられます。

Facebookアカウントを盗むバージョン

さらに、広告表示機能がメインではないアプリも見つかりました。例えば少し前に、偽の広告管理アプリ(Madgicx向けとTikTok向け)がGoogle Playで配布されていました。Facebookアカウント情報の入力を促す画面をしつこく表示し、アカウント情報を入力した場合は、そのアカウントを盗みます。

Google Play以外のストアのアプリ

このようなアプリの多くは、GoogleがGoogle Playから削除した後でも、別のストアで配布され続けています。平均的な企業よりもリソースの多いGoogleであっても、膨大な量の既存アプリをいつでもすぐに審査できるわけではないことを考えれば、それも当然です。それでも何らかの理由で非公式ストアを使うのであれば、危険なアプリを寄せ付けないために、少なくとも、信頼できるウイルス対策アプリをインストールしておくことをお勧めします。

今回の件に限らず、Google公式のGoogle Playに入り込んだマルウェアに関するエピソードには事欠きません。アプリはいつもGoogle Playからダウンロードしているという場合でも、ウイルス対策アプリでスマートフォンを保護しておくとよいでしょう。

ヒント
新着記事をメールでお知らせします