モバイルマルウェアとその手口:パート4

2018年11月5日

モバイルプラットフォームを狙う脅威について解説するシリーズの第4弾では、最も複雑で危険なタイプのマルウェアを取り上げます。Androidの機能を悪用するだけでなく、モバイルシステムを犯人の思いどおりにチューニングし、複数の悪意ある機能を組み合わせることもできるマルウェアです。

RAT:リモートアクセス型トロイの木馬

RATはその名のとおり、狭いところに入り込むネズミ(rat)のような性質を持っています。RAT、すなわちリモート管理ツール(Remote Administration Tool)を使ってネットワーク上のデバイスにリモート接続すれば、画面の内容を見ることができるだけでなく、リモートの入力デバイス(コンピューターならキーボードやマウス、スマートフォンならタッチスクリーン)からコマンドを発行してデバイスを完全に管理下に置くことができます。

RATは元々、悪意ある意図をもって開発されたものではありません。さまざまな設定やアプリを「リモートで」管理する場合に便利なようにと考案されたものです。テクニカルサポートのスタッフが電話で手順を説明するより、スタッフの方で代わりに適切なチェックボックスや設定を選択する方が、スタッフにとってもユーザーにとってもはるかに簡単だからです。

しかし、サイバー犯罪者の手にかかると、RATは恐ろしい武器と化します。他人のリモートアクセスを許すトロイの木馬をスマートフォンにインストールするのは、アパートの鍵を見知らぬ人に渡すようなものです。RATが悪意をもって使用されるケースがあまりにも一般的になり、RATという頭字語が「remote access Trojan」(リモートアクセス型トロイの木馬)の意味で使われるようになったほどです。

RATを介してデバイスに接続したハッカーは、デバイスの持ち主のパスワードやPINをこっそり探し回ったり、バンキングアプリにログインして勝手に送金したり、モバイルアカウントやクレジットカードでお金をひそかに消費するサービスに勝手に登録したり、好きなことができます。さらにはメールやSNSやメッセンジャーのアカウントを盗んでその人になりすまし、その人の友人からお金を騙し取る可能性もあります。その前に、デバイス内の写真を全部コピーしてしまうことでしょう。その中にプライベートな写真があれば、のちのち脅迫に使えますから。

RATのよくある使い方はスパイ行為です。嫉妬に駆られた夫や妻が相手の行動を監視するのにも使われますが、より深刻なのは、企業の秘密を盗み出す用途に使われる可能性があることです。たとえば、今年の春に検知されたAndroRAT(英語記事)は、スマートフォンのカメラでひそかに写真を撮影し、音声(電話での会話を含む)を録音する機能を持つだけでなく、位置情報に基づいてWi-Fiパスワードを盗み出すことも可能です。そのため、商談の内容はすべて筒抜けになり、企業ネットワークへの侵入が容易となってしまいます。

root化型トロイの木馬

AndroidなどのOSにおける「root権限」は、スーパーユーザー権限とも呼ばれ、システムフォルダーやファイルを変更できる権限です。普通に使用する分にはまったく必要のない権限であるため、既定では無効になっています。時に、技術に詳しい人がOSをカスタマイズするためにroot権限を取得することがあります。Root権限の取得(「root化」)については、慎重に検討する必要があります。その理由については、『Androidのroot化:メリット、デメリット、課題』をご覧ください。

一部の悪意あるプログラム(root化型トロイの木馬)は、OSの脆弱性を利用してroot権限を取得します。スーパーユーザー権限を得たサイバー犯罪者は、あなたのスマートフォンを自分の目的に合わせて設定できるようになります。たとえば、広告を全画面表示にするように仕向ける、マルウェアやアドウェアを利用者に通知することなくバックグラウンドでインストールするなどです。

このタイプのマルウェアが特に好むのは、スマートフォンにインストールされているアプリをひそかに削除し、フィッシング機能やマルウェアを備えた悪意あるアプリに置き換えるという手口です。さらに、スーパーユーザー権限があれば、デバイスの持ち主はマルウェアを削除できません。root化型トロイの木馬が現時点で最も危険なモバイル脅威と考えられる理由は、こうしたところにあります。

モジュラー型トロイの木馬

多目的なモジュラー型トロイの木馬は、複数の悪意ある操作を、状況に応じて同時または選択的に実行できます。際だった例の1つに、2017年末に検知されたLoapiがあります。Loapiは標的のデバイスに侵入すると、直ちに管理者権限を要求して自身の安全を確保します。この要求を拒否することはできません。管理者権限の付与を拒否しても、権限を要求する通知が何度も表示され、スマートフォンが使えなくなります。権限を許可すると、以後デバイスからLoapiを削除できなくなります。

それからLoapiはモジュールを起動します。モジュールは全部で5つあり、広告を表示するもの、リンクをたどって勝手に有料コンテンツに登録するもの、リモートサーバーのコマンドに応じてDDoS攻撃を実行するもの、SMSメッセージを犯人に転送するものなどです。これらのモジュールは隠されているので、悪意ある処理が実行されても、デバイスの持ち主は気付きません。

Loapiはまた、空き時間を使ってひそかに仮想通貨のマイニングを行います。マイニングを行うのは、スマートフォンが電源や外付けバッテリーに接続されている場合がほとんどです。マイニングはエネルギーやリソースを消費する複雑な計算プロセスであるため、バッテリーの充電に時間がかかるようになります。スマートフォンに致命的な損傷が生じることもあります。当社のエキスパートが実際に試したところ、Loapiの活動期間が2~3日(英語記事)に及んだ時点でスマートフォンのバッテリーがオーバーヒートして故障してしまいました。

最悪のAndroidマルウェアから身を守る方法

RAT、root化型トロイの木馬、モジュラー型マルウェアが深刻な危険をもたらすことが、お分かりいただけたと思います。しかし、こうしたマルウェアに対して防御を固めることは可能です。以下の対策を、ぜひ実施してください。

  • まず、提供元が不明なアプリのインストールをブロックしましょう。Androidの初期設定ではこのオプションが無効化されているので、そのままにしておきましょう。これで絶対に安全という保証はありませんが、モバイルデバイスを狙うトロイの木馬による大半の問題を回避できます。
  • 安上がりだからといって、アプリの海賊版をダウンロードしないようにしてください。そうしたアプリの多くはマルウェアに感染しています。
  • おいしすぎる話で釣ろうとするリンクは、クリックしないようにしましょう。航空券を無料でプレゼント、などというメッセージはたいてい、個人情報を盗むための手口であり、おまけとしてマルウェアまで付いてきます。フィッシングについても同じです。「これはあなたの写真?」といった内容のテキストメッセージが友人や知らない人から送られてきて、クリックしたら実はマルウェアをダウンロードさせるWebサイトだった、という例があります(英語記事)。
  • Android OSのアップデートやアプリのアップデートの案内が来たら、無視せずアップデートを適用しましょう。攻撃者がスマートフォンへ侵入するために利用するセキュリティホールをふさいでくれます。
  • アプリがどのような権限を要求しているのか、よく確認しましょう。個人情報に対するアクセスや、リスクをはらむAndroid機能に対するアクセスの要求は、ためらわずに拒否してください。たいていの場合、そうした要求を拒否してもさほど困ったことにはなりません。
  • 性能の良いセキュリティ製品をスマートフォンにインストールしましょう。カスペルスキー インターネット セキュリティ for Androidは、トロイの木馬を検知して削除するだけでなく、モバイルデバイスにマルウェアを感染させたり利用者登録をさせたりするWebサイトをブロックします。