悪意あるポケモンGO関連アプリ、ポケモントレーナーを狙う

Kaspersky Labは、悪意あるアプリ「Guide for Pokémon Go」をGoogle Playで発見しました。このアプリは、すでに50万回以上もダウンロードされています。

Pokémon GO(ポケモンGO)の配信開始から3か月足らずで、ポケモントレーナーを狙うマルウェアがGoogle Playに潜入しました。Kaspersky Labのエキスパートが先日このマルウェアを発見し、Googleにただちに報告しました(英語記事)。残念ながら、この悪意あるアプリ「Guide for Pokémon Go」は、その時点で50万回以上もダウンロードされていました。

この数か月でポケモンGOに挑戦した人は、およそ600万人。爆発的な人気を誇るゲームが、瞬く間にサイバー犯罪者の注目を集めたのも無理はありません。ポケモンGO関連の最初のマルウェアは、配信開始直後の7月に確認されました(英語記事)。当時はそれほど危険な状況だったわけではなく、悪意あるファイルリポジトリにマルウェアが格納されていて、オンラインで拡散されるのを待っている状態でした。ところが、今回はまったく別の話です。

新しいマルウェアは、Google Playで発見されました。このマルウェアは、セキュリティエキスパートの目を巧妙に欺き、標的を慎重に選び、「選ばれた」人に対して大量の広告を表示する、トロイの木馬です。また、標的のデバイスのroot権限を取得し、不要なアプリを多数インストールします。

感染から活動への流れ

このトロイの木馬の実行ファイルは、ウイルススキャンによって見つかることがないように、パッカー(実行ファイル圧縮ソフトウェア)で圧縮されていました。解凍後のファイルには、ポケモンGO関連のコンテンツ(マルウェアの仮の姿)のほか、難読化コードを含む小さいモジュールなどがありました。

pokemon-go-trojan-screenshot-1

「Guide for Pokémon Go」がインストールされると、このトロイの木馬は、しばらくの間ひそかに待機します。この待機時間には、明らかな意図がありました。トロイの木馬は、自分が実デバイス上にいるのか、仮想マシン上にいるのか、判断する時間をとっていたのです。セキュリティエキスパートは、不審なアプリのふるまいをさまざまな条件下で確認するために、仮想マシンを使用します。

実デバイス上にいることを確認すると、このトロイの木馬はサイバー犯罪者の指令サーバー(C&Cサーバーにメッセージを送ります。メッセージには、感染デバイスのモデル、OSのバージョン、既定の言語などの情報が含まれていました。

pokemon-go-trojan-screenshot-2

C&Cサーバーは感染デバイスの情報を分析し、犯罪者のニーズに合った標的かどうかを判断し、その結果をトロイの木馬に伝えます。「Guide for Pokémon Go」はC&Cサーバーの権限を使い、悪意あるファイル(このファイルのコードも難読化されていました)をさらにダウンロードします。これで、トロイの木馬は強力な武器を得たことになります。これらのファイルによって、2012年から2015年にかけて発見された脆弱性の悪用が可能になりました。

武装したトロイの木馬はシステムのroot権限を取得し、追加のアプリをこっそりインストールし、スマートフォンを広告で埋め尽くします。

この感染が意味するもの

ただの広告ではないか、と思われるかもしれません。しかし、感じの良い広告などめったにありません。それに、Googleの広告を見ること、つまりGoogleの「無料」サービスに対価を支払うことと、犯罪者があなたのスマートフォンにマルウェアを感染させて、ひっきりなしに広告を表示するのとでは、話がまるで違います。

しかし、このマルウェアの最も悪しき点は、そこではありません。「Guide for Pokémon Go」は、どんなアプリでもこっそりデバイスにインストールすることが可能です。犯罪者は今のところ、広告という比較的穏やかな方法で利を得ていますが、今後は、利益を増やそうとデバイスをロックして身代金を要求したり、銀行口座からお金を盗んだりする手段に出ないとも限りません。

このアプリは現在Google Playから削除されていますが、すでに50万もの人々がダウンロードした後でした。ロシア、インド、インドネシアのデバイスが感染したことが確認されています。しかし、このアプリは英語圏の人々をターゲットにしているので、世界中にもっと多くの感染者がいると考えられます。

自分の身を守るには

感染が心配な方は、セキュリティ製品を使ってデバイスをスキャンし、マルウェアを駆除してください。当社のAndroid向けセキュリティ製品、カスペルスキー インターネット セキュリティ for Androidは、無料でご利用いただけます(アプリ内購入あり)。なお、当社製品は、このマルウェアを「HEUR:Trojan.AndroidOS.Ztorg.ad」の検知名で検知・ブロックします。

また、以下を参考にしてください:

  1. 公式ストアからアプリをダウンロードした場合でも100%安全だとは言い切れない。このことを肝に銘じましょう。Googleなどの企業は防御手段を講じていますが、これを犯罪者がすり抜けることがあります。今回の「Guide for Pokémon Go」が良い例です。
  2. スマートフォン向けのセキュリティパッチがリリースされたら、すぐにインストールしましょう。PCの場合も同様です。サイバー犯罪者は、モバイルOSの脆弱性もデスクトップOSの脆弱性も狙ってきます。
  3. Google Playのレビューと評価は、必ずしも信頼できるとは限りません。犯罪者が特殊なマルウェアを使ってレビューや評価をでっちあげる可能性があります。ちなみに「Guide for Pokémon Go」は、Google Playで星4つでした。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?