2017年5月30日

お小遣い稼ぎのつもりが、トロイの木馬「Ztorg」に感染

ニュース 脅威

インターネットでは、簡単にお金を稼げます!と謳う広告が目につきます。こうした広告をクリックすると、たいてい怪しいところに誘導されます。たとえば、家で3人の子どもを育てながら1日に数千ドルも稼ぐ主婦が「あなたにもできます!」と呼びかける投稿とか。しかし、簡単にお金を稼ぐ方法はこれだけではありません。しかも、いかにも筋が通った話に見える方法があるのです。

たとえば、アプリをインストールするだけでお金をもらえるサービスがあります。金額は1アプリにつき5セント(日本円では6円弱)程度と微々たるものですが、やることは簡単なので飛びつく人もいます。このような仕組みは、特に子供たちの間で人気があります。アプリを50個インストールして2ドル50セント(300円弱)稼ぎ、オンラインゲームのお気に入りキャラ用のアイテムを買うのです。

Google Playストアには、実は小遣い稼ぎのアプリが相当数あります。そうしたアプリをダウンロードしてインストールすると、お金を稼げるアプリの一覧が表示されます。一覧の中からアプリをダウンロードし、インストールして、2~3分プレイする。それだけでお金がもらえるのです!

この仕組みはかなり一般的で、合法でもあります。実際、ソフトウェア開発者の多くはアプリのダウンロード数に重きを置いていて、この方法ならダウンロード数を確実に増やせます(誠実なやり方とは言えませんが)。開発者が喜んでお金を払うのも不思議ではありません。このやり方には特に落とし穴はなさそうに見えますが、実際どうなのでしょうか?

あぶく銭と無料マルウェア

もちろん、落とし穴はあります(だからこそ、この記事を書いているわけですが)。このような小遣い稼ぎのアプリが、利用者にマルウェアを、特にあの悪名高いトロイの木馬「Ztorg」を、ダウンロードさせる可能性のあることがわかりました。Ztorgとは、あの有名なゲーム「Pokémon GO」(ポケモンGO)の攻略ガイドを装って、Google Playから50万回もダウンロードされたトロイの木馬です。

Ztorgが隠れているアプリは、「Guide for Pokémon Go」だけではありません。このアプリに潜むZtorgを発見したKaspersky Labのエキスパート、ロマン・ウヌチェク(Roman Unuchek)は数か月にわたり、小遣い稼ぎアプリを介して配布されたアプリを調査しました。その結果、Ztorgの正体を隠すための新しいアプリが毎月、登場していることが明らかになりました。

Ztorgの正体

このようなアプリには、2つの共通点があります。1つめは、ダウンロード数の急増が見られること。その勢いは、1日に数万単位です。2つめは、Google Playストアのレビューを見てみると、ほとんどの人が金銭、クレジット、ボーナスなどを目当てにアプリをダウンロードしたと書き込んでいることです。

Ztorgは以前と変わっていません。インストールされた後、システムとデバイスの情報を収集し、指揮統制(C&C)サーバーに送ります。この情報を受け取ったサーバーは、Ztorgがデバイスのルートアクセスを取得できるようにするためのファイルを送り返します。こうなると、犯罪集団は広告の表示や別のトロイの木馬のダウンロードなど、やりたい放題になります。

また、Ztorgは広告経由でも拡散します。誰かがバナー広告をクリックし、アプリをダウンロードしてインストールすれば、はい、感染。とても簡単です。

興味深いことに、Ztorgが被害者に対して表示する広告は、自分の感染を拡大するために使っているのとまったく同じ広告ネットワークが使われています。このネットワークは合法なので、他にも多くのアプリに利用されています。単に、ネットワークのセキュリティ担当者が、マルウェアの広告を載せていることに気付かなかっただけなのです。

ただ、Ztorgの悪意ある機能は隠されているので、アプリを調査してもマルウェアであることがはっきりとはわかりません。たとえば、Ztorgは自分の置かれた環境を確認し、サンドボックス(テスト環境)だとわかったら動作しません。

また、悪意あるバナー広告の大半は、アプリのダウンロードページには直接リンクしていません。あるページに誘導し、そこからさらに別のページへと次々にリダイレクトしていきます。これは、足がつきにくくするためです。ウヌチェクは、ダウンロードページにたどり着くまで、最高27回もリダイレクトされました。さらに、このアプリはC&Cサーバーから悪意あるファイルをダウンロードするのを90分も遅らせることが可能です。このくらい待たせれば、テスターも「このアプリは悪いことをしない」と判断するでしょう。

実は、悪意あるアプリが公式のGoogle Playストアに侵入したのも、こうした隠蔽工作によるものです。当ブログで何度かお伝えしたとおり、公式ストアにはこれ以外にもトロイの木馬が潜んでいます。Google Playに限らず、各種アプリストアにあるアプリを無条件に信用してはなりません。

教訓

このような攻撃の被害者にならないようにするには、以下のヒントを参考にしてください:

  1. アプリは、信頼できる開発元からしかダウンロードしないようにしましょう。公式アプリストアからダウンロードするようにすれば、なお安心です。それでもトロイの木馬に遭遇する可能性はありますが、公式ストアで遭遇する確率は、非公式ストアでの確率ほど高くありません。
  2. 信頼できるセキュリティ製品をインストールしましょう。カスペルスキー インターネット セキュリティ for Androidは、これまでにもZtorgを識別し、無力化してきました。この製品の無料版をご利用の場合は、定期的に手動でスキャンしてください。自動スキャンは有料版のみの機能です。