Google、AndroidマルウェアがGoogle Playストアに紛れ込む仕組みを説明

masapoco
投稿日 2023年8月6日 8:26
google logo smartphone

Google Cloudのセキュリティチームは、攻撃者がGoogle Playストアの審査プロセスやセキュリティ制御を回避してAndroid端末にマルウェアを忍び込ませるために使用するバージョニングと呼ばれる一般的な手口について、詳しく報告している。

この手口は、すでにインストールされているアプリケーションに配信されるアップデートを介して悪意のあるペイロードを導入する方法と、ダイナミック・コード・ローディング(DCL)と呼ばれる方法で、攻撃者のコントロール下にあるサーバーから悪意のあるコードをロードする方法のいずれかによって機能する。

これにより、攻撃者は、アプリストアの静的解析チェックを回避することで、ペイロードをネイティブ、Dalvik、またはJavaScriptのコードとしてAndroidデバイス上に展開することが出来るという。

「悪意ある行為者がGoogle Playのセキュリティ制御を回避しようとする方法の1つは、バージョニングです」と、同社は今年の脅威動向レポートで述べている。

「バージョニングは、開発者がGoogle Playストアでアプリの初期バージョンをリリースする際に発生します。このバージョンは一見正当なものであり、Google Playのチェックにも合格しているように見えますが、後にサードパーティのサーバーからアップデートが提供され、エンドユーザーデバイス上のコードが変更されることで、悪意のある行為が可能になります」と、Googleは述べている。

Googleは、Playストアに登録するために提出されたすべてのアプリケーションとパッチは、厳格なPHA(潜在的に有害なアプリケーション)スクリーニングを通過すると述べているが、DCLを通じて「これらの制御の一部」がバイパスされている。

Googleは、このような行為を行っているアプリケーションが見つかった場合、Google Playの不正行為ポリシーに違反し、バックドアとみなされる可能性があると説明している。

同社のPlay Policy Centerのガイドラインによると、Google Playを通じて配布されるアプリは、Google Playが提供する公式のアップデートメカニズム以外の手段で自身を変更、置換、アップデートすることが明確に禁止されている。

さらに、アプリが実行可能コード(dexファイル、JARファイル、.soファイルなど0)を外部から公式のAndroid App Storeにダウンロードすることも固く禁じられている。

Googleはまた、2021年10月にCleafyの脅威インテリジェンスチームによって初めて発見されたSharkBotと名付けられた特定のマルウェア亜種を強調した。

SharkBotはバンキングマルウェアで、Androidデバイスを侵害した後、Automated Transfer Service(ATS)プロトコルを介して不正送金を行う。

Playストアのシステムによる検出を回避するため、SharkBotの脅威当事者は、Google Play上で機能を制限したバージョンをリリースし、アプリの不審な性質を隠すという、現在では一般的な戦略を採用している。

しかし、ユーザーがトロイの木馬化されたアプリをダウンロードすると、マルウェアのフルバージョンがダウンロードされる。

Sharkbotは、Androidのウイルス対策ソフトウェアや様々なシステムユーティリティのように偽装され、Google Playストアの悪意のある動作に関する提出チェックを通過したアプリを介して、数千人のユーザーへの感染に成功している。

また、サイバーセキュリティ担当記者のBrian Krebsは、ThreatFabricのセキュリティ研究者が最近公開した、同じ目的で別のモバイルマルウェアの難読化技術が使用されていることを取り上げている。

この手法は、Googleのアプリ解析ツールを効果的に破壊し、悪意のあるAPK(アンドロイド・アプリケーション・パッケージ)をスキャンできないようにする。その結果、これらの有害なAPKは、無効であるというラベルが貼られているにもかかわらず、ユーザーの端末に正常にインストールされることになるとのことだ。


Source



この記事が面白かったら是非シェアをお願いします!


  • hottest day
    次の記事

    2023年の猛暑と気候災害を引き起こした4つの要因

    2023年8月7日 6:13
  • 前の記事

    NASA、ボイジャー2号との通信を再開と発表

    2023年8月6日 7:24
    voyager 2

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


今読まれている記事