PhantomLanceのAndroid向けバックドア、Google Playで見つかる

Kaspeskyのエキスパートは、Android向けのバックドア型トロイの木馬をGoogle Playで発見。攻撃活動「PhantomLance」の一環として利用されているものと判明しました。

昨年6月、我らが同業のDr.WebがGoogle Play上でバックドア型トロイの木馬を発見しました(英語)。こうしたものが見つかるのはよくあることではありませんが、皆無でもありません。Google Playでトロイの木馬が見つかることは確かにあり、時には一度に数百も見つかる場合があります。

しかし、このトロイの木馬は、Google Playで見つかるマルウェアにしては高度であったため、当社のエキスパートはこの件をさらに深掘りすることにしました。彼らは独自の調査により(英語)、このマルウェアが2015年終盤から継続している悪意ある活動(当社では「PhantomLance」と命名)の一環であることを突き止めました。

PhantomLance:マルウェアの機能

当社では複数バージョンを検知していますが、いずれのバージョンも機能面でかなり似ています。

PhantomLanceの主な目的は、感染先デバイスから機密情報を集めることです。このマルウェアは位置データ、通話記録、テキストメッセージ、インストール済みアプリの一覧、感染先スマートフォンに関する全情報を攻撃者に提供することが可能です。それだけでなく、指令サーバーから追加モジュールを取り込むことで、いつでも機能拡張することができます。

PhantomLance:感染経路

このマルウェアの主な配布プラットフォームとなっているのはGoogle Playです。これ以外の場所でも見つかっていますが、ほとんどはGoogle PlayからアプリとメタデータをコピーしてきただけのWebサイト(ミラーサイト)です。

このバックドア型トロイの木馬が感染した状態のアプリがGoogle Playに現れ始めたのは、2018年夏です。フォント変更アプリ、広告削除アプリ、システムクリーンアップアプリなどの中に、このマルウェアが潜んでいました。

Googpe Playで見つかった、PhantomLanceマルウェアが含まれていたアプリ

Googpe Playで見つかった、PhantomLanceマルウェアが含まれていたアプリ

PhantomLanceを含むアプリはすでにGoogle Playから削除されていますが、ミラーサイトの方にはまだ残っている可能性があります。皮肉なことに、こうしたサイトのいくつかは、インストールパッケージはGoogpe Playから直接ダウンロードされたものであると述べており、そのためアプリがマルウェアに感染していることはないとされています。

では、サイバー犯罪者はどのようにして、自分たちのマルウェアをGoogleの公式アプリストアに潜り込ませることができたのでしょうか。彼らはまず、信ぴょう性を加えるために、アプリ開発者のプロファイルをGitHubに作りました。プロファイルにはライセンス契約的なものしか置かれていませんでしたが、GitHubにプロファイルがあることが開発者の社会的地位の証明に役立ったようです。

第2に、PhantomLanceマルウェアの作者が最初にGoogle Playにアップロードしたアプリは、悪意あるアプリではありませんでした。最初のバージョンには疑わしい機能が含まれなかったので、Google Playの審査をくぐり抜けることができたのです。その後にアプリのアップデートを配信することによって、悪意ある機能が追加されたのでした。

PhantomLance:標的

拡散している地域から見て、またオンラインストアに悪意あるアプリのベトナム語版が存在することから判断して、PhantomLanceの作者が一番の標的としているのはベトナムの人々だと考えられます。

さらに、当社のエキスパートは、PhantomLanceをOceanLotusグループに関連付ける特徴を多数発見しています。OceanLotusは、やはりベトナムを標的としてさまざまなマルウェアを作成しています。

以前解析したOceanLotusのマルウェアツールには、macOS向けバックドアのファミリー、Windows向けバックドアのファミリー、Android向けトロイの木馬が含まれ、その活動が認められた時期は2014年〜2017年でした。当社のエキスパートは、先に述べたAndroid向けトロイの木馬をPhantomLance が2016年から受け継いだと結論づけています。

PhantomLanceとOceanLotusのマルウェアの関連性

PhantomLanceとOceanLotusのマルウェアの関連性

PhantomLanceのマルウェアに感染しないために

Android関連のマルウェアについての記事では、「アプリは必ずGoogle Playからインストールする」という対策をお伝えするのが定番となっています。しかしPhantomLanceの件は、マルウェアは時にGoogleでさえも欺くことがあるのだということを、今一度思い出させてくれます。

Googleでは、公式アプリストアをクリーンに保つために並々ならぬ努力を払っています(そうでなければ、もっと頻繁に怪しいアプリに遭遇しているはずです)。しかし、同社の能力にも限りというものはあり、一方で攻撃者は独創性を発揮します。したがって、Google Playにあるアプリであっても、完全に安全だという保証はありません。以下の点も、併せて確認するようになさってください。

  • アプリは信頼できるデベロッパーからダウンロードする。
  • アプリの評価とレビューを確認する。
  • アプリが要求する権限をよく確認し、不必要に多くの権限を要求されていると思ったら思い切って拒否する。たとえば、天気情報アプリには連絡先情報やメッセージにアクセスする必要はないでしょうし、写真フィルターアプリに位置情報は必要ないはずです。
  • Androidデバイスにアプリをインストールしたら、信頼できるセキュリティ対策アプリでスキャンする。

PhantomLanceの技術的詳細については、Securelistに掲載のレポートをご覧ください。

ヒント