スパイウェアの手口も進化しています

Kiyoshi Tane 20時間前
https://japanese.engadget.com/2019/01/10/google-play-10/

正規のアプリに偽装されたAndroid向けスパイウェアがGoogle Play経由で配布され、
196カ国で10万回以上ダウンロードという、広い規模で拡散されていたという研究結果が報じられています。

ただし現状では、既に該当アプリはGoogle Play上から削除されているとのこと。

この事例を報じたのは、サイバーセキュリティ会社のトレンドマイクロ。
「Flappy Birr Dog」など「フラッピーバード」のクローンゲームや懐中電灯、エミュレータといった
6つのAndroid用アプリに「MobSTSPY」なるスパイウェアが仕込まれていたとの報告記事を同社のブログに掲載しました。

これら全ての偽装アプリは、同社がレポートを発表するまでにGoogle Playから削除されたとしています。

MobSTSPYとは、ユーザーの現在地や通話記録、クリップボードといった情報を盗み出し、外部サーバーへと送信するもの。
そうした機能に加えて、偽のFacebookやGoogleのポップアップを表示してアカウント情報を入力させることで、フィッシング攻撃もできるとのこと。
ユーザーが資格情報を入力した場合、偽のポップアップはログインが失敗したと表示するだけで、
裏では外部サーバーに盗み出された情報が送られているわけです。

さて、Google Playで悪意あるアプリが発見される事態は珍しくありませんが、
今回のケースで注目すべきは拡散の規模と、Google Playの審査の目を欺いた手口でしょう。

トレンドマイクロの担当者は米ZDNetの取材に対し、用いられた手法の推測を述べています。
それによれば、最初は悪意あるコードを使用せずに一般的なアプリとしてストアにアップロードし、
多数のユーザーによってダウンロードされるまで数ヶ月待機。
その後、アップデートによって悪意のあるコードが仕込まれた可能性があるとのこと。

こうした手法により「通常、Googleは新アプリには厳しいチェックを強制します。
しかし長期間にわたって何回かアップデートされると、その流れで悪意がないと推定され、
チェックのレベルが下がってしまうのかもしれません」
「アプリの信頼性が高まり、多くのユーザーに配布されてから、
アプリ開発者は悪質な機能を有効にするアップデートを配信するのです」と説明されています。

今回のスパイウェアは、こうして196カ国、10万回以上のダウンロードにまで広がることになったわけです。

こうした、最初は無害のアプリとして配布しておき、更新により悪意のあるコードを仕込むという攻撃手法は
PC用アプリなどでは従来から事例がありますが、スマートフォン向けの公式アプリストア経由で、ここまで大規模に拡散されるのは異例のこと。

今後は当然ながらアプリストア側の監視も強化されるはずですが、
利用者側の心構えとしては、たとえユーザーの評価が高く、これまで悪事を働いたことがないアプリ開発元であっても、
可能な限り情報を収集するなど警戒しておくに越したことはなさそうです。

Source: ZDNet, Trend Micro
関連キーワード: android, google, GooglePlay, internet, malware, security, spyware, trendmicro

該当ブログ記事
https://blog.trendmicro.com/trendlabs-security-intelligence/spyware-disguises-as-android-applications-on-google-play/