ZooPark:ニュースサイト経由で広がるAndroidベースのマルウェア

2018年5月18日

一見何の問題もなさそうな評判のいいWebサイトでも、時として有害なことがあります。犯罪者がWebサイトに脆弱性を見つけ、それを悪用して罠を仕掛けていることがあるのです。

今回の記事では、中東の時事問題に興味のあるAndroid利用者にとって脅威となる「ZooPark」というスパイウェアを取り上げます。

Kaspersky Labは2015年からZooParkを追跡していますが、このトロイの木馬は新しいトリックを大量に取り入れてきています。現在見られるバージョン4は、連絡先から通話記録からキーボード入力の内容まで、ほぼあらゆる情報をスマートフォンから盗むことが可能です。ZooParkが収集するデータは以下のとおりです。

  • 連絡先情報
  • ユーザーアカウント情報
  • 通話履歴
  • 通話音声の録音
  • テキストメッセージ
  • ブックマークやブラウザーの履歴
  • ブラウザーの検索履歴
  • デバイスの位置情報
  • デバイスに関する情報
  • インストールされているアプリケーションの情報
  • メモリカードに保存されているファイル
  • デバイスに保存されているドキュメント
  • 画面上のキーボードを使って入力された情報
  • クリップボードの情報
  • アプリが保存したデータ(Telegram、WhatsApp、imoなどのメッセンジャーアプリのデータ、Chromeブラウザーのデータなど)

これだけでなく、ZooParkはスクリーンショットや写真、動画の撮影も可能です。たとえば、前面カメラを使ってスマートフォンの持ち主の顔写真を撮り、コマンドセンターに送ることができます。

感染経路

トロイの木馬型スパイウェアであるZooParkは、不特定多数へ手当たり次第に送りつけられるのではなく、特定の人々をターゲットにした標的型攻撃に使用されます。ZooParkの背後にいる犯罪者たちは、特定のテーマ、具体的には中東情勢に興味を示す人々に狙いを定めています。

ZooParkの主な拡散経路は、Telegramと水飲み場攻撃です。

たとえば、Telegramチャネルでクルド独立の是非を問う住民投票用のアプリを装って提供された例がありました。

水飲み場攻撃については、著名な中東のニュースサイトが改竄され、マルウェアの拡散に使われた例があります。このWebサイトにアクセスすると、便利そうに見えて実はマルウェアに感染しているアプリ(この例ではニュースの公式アプリを装ったアプリ)のダウンロードが自動的に始まる仕組みでした。

ZooParkの技術的な詳細については、Securelistの記事(英語)をご覧ください。

感染しないために

この手の危険なスパイウェアに感染しないためには、以下を参考にしてください。

  • アプリは、信頼できる提供元(たとえば公式のアプリストア)からしかダウンロードしないようにしましょう。デバイスの設定で、サードパーティのストアが提供するプログラムをインストールできないようにすると、より安全です。
  • OSや重要なアプリのアップデートが公開されたら、すぐに適用しましょう。アップデートの適用で安全面の問題が解決されることはよくあります。
  • 怪しいリンクやアプリをブロックしてくれる、モバイル向けのセキュリティ製品を使いましょう。カスペルスキー インターネット セキュリティ for Androidは、ZooParkを検知して無害化します。