1,100万人のAndroidユーザーを攻撃：トロイの木馬「Necro」

私たちは以前からブログの読者に対して、デバイスにコンテンツをダウンロードする際には十分に注意するよう呼びかけています。 非公式提供元にある改造版アプリやハッキングされたアプリだけでなく、結局のところ、Google Playにあるアプリでさえマルウェアと無縁ではありません。 デジタルの世界が存在し続ける限り、トロイの木馬のようなマルウェアは、信頼性が高い保護機能を実装していないデバイスに侵入し続けるでしょう。

今日は、世界中で約1,100万人のAndroidユーザーが被害に遭ったとみられるトロイの木馬「Necro」についてお話しします。 Necroがどのアプリに潜んでいるのか、そしてどのように身を守ればいいのか、説明します。

トロイの木馬「Necro」とは

普段からこのブログを読んでいる方は、2019年に当社が初めて公開したNecroについてのブログを思い出すかもしれません。 当時、当社の専門家は、Google Playで1億回以上ダウンロードされたPDF作成アプリアプリ「CamScanner」に仕込まれたトロイの木馬を発見しました。そして 最近になって、攻撃者たちはあの古いトロイの木馬をさらに進化させました。当社のリサーチャーは、Google Playのアプリや非公式アプリサイト上で提供されている改造版アプリの両方で、機能が強化されたトロイの木馬を確認しています。おそらく、これらのアプリのデベロッパーは、未検証の広告統合ツールを使用して、Necroをコードに侵入させたと考えられます。

現在のNecroは、検知を回避するためにローダーを難読化しています（しかし、当社が検知できなくなることはありませんでした）。悪意のあるペイロードをダウンロードする際に、一見無害な画像にコードを隠すステガノグラフィーを使用するなど、非常に巧妙な方法を使用しています。

また、ダウンロードされた悪意のあるモジュールは、あらゆるDEXファイル（Android用に記述されたコンパイル済みコード）を読み込んで実行したり、ダウンロードしたアプリをインストールしたり、被害者のデバイスをトンネル化したりすることができるうえ、有料サブスクリプションを契約させることさえも可能です。さらに、非表示のウィンドウで広告を表示して対話したり、任意のリンクを開いたり、あらゆるJavaScriptコードを実行したりすることもできます。

Necroの設計と機能の詳細については、 Securelistブログをご参照ください。

Necroの隠れ場所

このマルウェアの痕跡は、ユーザーが改造したSpotify、写真編集アプリであるWuta Camera、Max Browser、WhatsAppと人気ゲーム（Minecraftなど）の両方の改造版で発見されました。

改造版Spotify

調査の初期段階で当社の注意を引いたのは、ユーザーは、非公式の提供元からお気に入りのアプリの新しいバージョンを無料でダウンロードするよう誘導されていました。このバージョンでは、サブスクリプションのロックが解除され、オンラインでもオフラインでも無制限に音楽を聴くことができるとのことです。きれいな緑色の［Download Spotify MOD APK］ボタンを見ると、思わずクリックしてみたくなりませんか？でも、ちょっと待ってください！これはマルウェアです。「Security Verified」（セキュリティ検証済み）や「Official Certification」（公式認定済み）などの保証をうたう文言を信じないようにしましょう。このアプリは壊滅的な被害をもたらします。

どんなバージョンであろうと、ここからは決してアプリをダウンロードしないように注意しましょう。別のバージョンにも、Necroやその他のトロイの木馬が潜んでいる可能性があります。

このアプリが起動されると、トロイの木馬は感染したデバイスに関する情報を攻撃者のC2サーバーに送信し、その応答としてPNG画像をダウンロードするためのリンクを取得します。この画像には、ステガノグラフィーによって悪意のあるペイロードが隠されていました。

Google Play上のアプリ

Spotifyの改造版が非公式チャンネルを通じて配布されたのに対し、Necroに感染したWuta CameraはGoogle Playに登場し、そこから1,000万回以上ダウンロードされました。当社のデータによりますと、Necroローダーは、Wuta Cameraのバージョン6.3.2.148に侵入し、観戦していないバージョンは6.3.7.138から始まっています。したがって、もしバージョンがそれ以下であれば、直ちにアップデートする必要があります。

ダウンロード数と評価の高さが、トロイの木馬の隠れ蓑となっていました。

Wuta Cameraに比べてMax Browserのユーザー数ははるかに少なく、わずか100万人です。Necroは、バージョン1.2.0にアプリコードを侵入させました。このアプリは、当社の通知を受けてGoogle Playから削除されましたが、サードパーティのリソースでは引き続きダウンロード可能です。まだそのリソースに、トロイの木馬が埋め込まれたバージョンのブラウザーがある可能性があります。

WhatsApp、Minecraft、その他の人気アプリの改造版

非公式のメッセージアプリは、通常、公式のアプリよりも多くの機能を搭載しています。しかし、Google Play やサードパーティのサイトにあるものも含め、改造版はすべて疑わしいものとして考えるべきです。なぜなら、それらは往々にしてトロイの木馬とセットになっているからです。

たとえば、非公式な提供元からNecroローダー付きWhatsAppの改造版が配布されていることが判明しました。また、Minecraft、Stumble Guys、Car Parking Multiplayer、Melon Sandboxの改造版も見つかっています。そして、このようなゲームやアプリは、決してランダムに選ばれたわけではありません。攻撃者は常に、最も人気の高いゲームやアプリを標的にしているのです。

Necroから身を守る方法

第一に、非公式な提供元からのアプリのダウンロードをしないことを強く推奨します。デバイスの感染リスクが極めて高いからです。第二に、Google Playやその他の公式プラットフォーム上のアプリについても、相応の警戒心を抱くべきでしょう。1,000万回ダウンロードされたWuta Cameraのような人気アプリでさえ、Necroの前では無力であることが証明されました。

• トロイの木馬にうっかり引っかからないよう、デバイスを確実に保護しましょう。当社のAndroid向けセキュリティ製品は、Necroやその他の類似マルウェアを検知します。
• ダウンロードする前にストアのアプリページをチェックしましょう。特に、低い評価のレビューに目を通すことを推奨します。これらのレビューは、多くの場合、落とし穴となり得る問題について注意を促していることが多いためです。過剰な高評価は捏造の可能性があり、全体的な評価を水増しして高めることも簡単にできます。
• 改造版やハッキングされたバージョンをわざわざ探してダウンロードすることもやめましょう。このようなアプリにはほとんどの場合、無害なものからCanesSpyのようなモバイルスパイウェアまで、あらゆる種類のトロイの木馬が仕込まれています。