Androidを狙う組織犯罪「Triada」

2016年4月8日

軍隊の定番の行動パターンといえば?最初に偵察隊が状況を確認し、その後で大部隊がやって来る、という動きです。少なくとも、サイバー戦争の時代に入る前はそうでした。そして現在、トロイの木馬もまったく同じように活動することがわかりました。

triada-trojan-featured

Androidに仕掛けられる「小さなトロイの木馬」には、アクセス権限を利用する、つまりルートアクセス権を取得できるものが数多くあります。当社のマルウェアアナリストであるニキータ・ブーチュカ(Nikita Buchka)やミハイル・クージン(Mikhail Kuzin)なら、そうしたトロイの木馬のファミリー名をたちまち10個以上挙げることができるでしょう。その大半はほとんど無害です。最近まで、そうしたトロイの木馬がすることは、大量の広告を差し込んだり、自身と似たようなアプリをダウンロードしたりするくらいのものでした。詳しくは、当社のリサーチャーによるSecurelistの記事をご覧ください(英語記事)。

軍隊に例えると、こういったトロイの木馬は偵察隊です。お気付きのとおり、ルートアクセス権を取得すると、アプリのダウンロードとインストールができるようになります。そのため、トロイの木馬が1つシステムに侵入すれば、数分後には別のトロイの木馬がいくつも侵入してしまいます。当社のリサーチャーは、さして害のないこうしたトロイの木馬が非常に悪質なマルウェアをダウンロードし、そのマルウェアが感染デバイスの所有者に実害を及ぼす可能性がある、と予測していました。

そして先日、まさに予測どおりのことが起きました。Leech、Ztorg、Goproといった小さなトロイの木馬が、モバイルプラットフォーム向けのトロイの木馬をダウンロードしているのです。このトロイの木馬「Triada」は、当社のマルウェアアナリストがこれまでに遭遇した中で最も高度なマルウェアの1つです。

Triadaはモジュラー型のトロイの木馬であり、ルート権限を利用してシステムファイルを置き換えます。主にデバイスのRAM内に存在するため、検知は極めて困難です。

Triadaの悪質な手口

トロイの木馬「Triada」は、ダウンロードされインストールされると、まずはシステムに関する情報を集めようとします。デバイスモデル、OSバージョン、SDカード容量、インストールされているアプリの一覧、といった情報です。続いて、収集した情報をすべて指令(C&C)サーバーに送信します。当社では、4つのドメインで計17台のC&Cサーバーを検知しました。犯人は冗長化について熟知しているものと考えられます。

その後、デバイスの個人識別番号やその他の設定情報(サーバーとの通信間隔、インストールするモジュールの一覧など)の入った設定ファイルが、C&Cサーバーから送られて来ます。モジュール一式は、インストールされると、短期記憶領域に展開されてデバイスストレージからは削除されるため、さらに検知が難しくなります。

Triadaの検知が非常に難しい理由、そして当社のリサーチャーに強烈な印象を与えた理由は、他にも2つあります。1つめは、Zygoteプロセス(英語)に変更を加える点です。ZygoteはAndroid OSのコアプロセスであり、すべてのアプリのテンプレートとして使用されます。そのため、TriadaがZygoteに侵入すると、デバイス上で起動されるアプリにもれなくTriadaが入り込むことになります。

triada-zygote-JA

もう1つは、システム機能を置き換えて、実行中のプロセスとインストール済みのアプリの一覧にTriadaモジュールが表示されないようにする点です。そのため、感染したシステムは不審なプロセスを認識できず、持ち主に警告を発することができません。

Triadaが変更するのは、システム機能だけではありません。当社リサーチャーの調査では、送信されるSMSを捕らえ、受信するSMSをフィルタリングすることも判明しました。金銭の奪取には、まさにこの機能が使われています。

一部のアプリでは、アプリ内課金の際にSMSを使用します。取引データをショートメッセージで送信するのです。アプリ開発者がインターネット経由の決済ではなくSMSを選ぶのは、SMSならインターネット接続が不要であるのが大きな理由です。アプリ内課金を行う際のSMSは、SMSアプリではなく取引を行うアプリ(たとえば無料のゲームアプリ)で処理されるため、利用者の目には見えません。

TriadaはこのようなSMSを変更する機能を備えているため、課金されたお金は、アプリの開発者ではなくマルウェアを操る犯罪者に送られます。利用者が購入手続きを完了していない場合は利用者から、完了している場合はアプリの開発元からお金が盗まれます。

今のところ、サイバー犯罪者がTriadaを通じて利益を得る方法はこれ1つだけです。ただし、Triadaはモジュラー型のトロイの木馬です。指令サーバーからの命令1つで文字どおり何にでも変化できるため、警戒が必要です。

スマートフォンで組織犯罪と戦う

Triadaの持つ主な問題の1つは、非常に多くの人々に害を与える可能性がある点です。先に述べたように、Triadaは、アクセス権限を利用する小さなトロイの木馬によってダウンロードされます。当社リサーチャーは、2015年下半期にAndroidユーザーの10人に1人がこうした小さなトロイの木馬の攻撃を受けたと見積もっており、Triadaに感染している可能性が高いデバイスは数百万台ある計算となります。

このように、知らないうちに忍び込む脅威から身を守るには、どうすればよいのでしょうか?

1. システムを必ず最新の状態に更新しておきましょう。Android 4.4.4以上のバージョンの場合、多くの脆弱性にパッチが適用されているため、小さなトロイの木馬はそう簡単にルートアクセス権を取得できないことが判明しています。ですから、Android 4.4.4以上が搭載されているデバイスであれば、Triadaに感染する可能性は大幅に下がります。ところが当社の統計によると、Androidユーザーの約60%は、いまだにAndroid 4.4.2以下を使用しています。

01_en

2. 使用しているOSのバージョンが何であれ、用心を重ねるに越したことはありません。Androidデバイスには、アンチウイルス製品をインストールすることをお勧めします。カスペルスキー インターネット セキュリティ for Androidは、Triadaの3種のモジュールをすべて検知します。ただし、体験版ではスキャンが自動的に実行されないのでご注意ください。

Triadaは、悪質なトレンドを示す1つの例にすぎません。マルウェア開発者は本気でAndroidを標的としていますし、最近見つかった検体はWindowsマルウェアに匹敵する複雑さと耐性を備えています。こうした脅威に対抗するには事前対策が一番であり、優れたセキュリティ製品の導入は必須です。