トレンドマイクロは、2015年10月、中国および台湾、日本の Androidユーザを狙った不正な成人向けアプリを確認しました。
これらの不正アプリは、性的な内容を含んだキーワードを利用し、「検索エンジン最適化(Search Engine Optimization、SEO)」対策をした偽の Webサイトを介して拡散されます。これらの Webサイトは、成人向け動画サイトを装っていますが、最終的には不正アプリがダウンロードされます。成人向けコンテンツの利用は、弊社が 2012年に確認したワンクリック詐欺アプリと同様の手法です。
弊社はこうした Webサイトを介して拡散する 3つの異なる不正アプリを確認しました。これらの不正アプリの不正活動はすべて同様で、別の不正アプリをユーザのモバイル端末に感染させる目的で利用されます。図1 のように、ユーザは常にポップアップ画面でアプリのインストールを促されます。
図1:偽のシステム更新として表示される不正アプリ
弊社の製品で「ANDROIDOS_SOUYING.HRX」として検出される不正アプリは、カーネルドライバに存在する複数の脆弱性(「CVE-2012-6422」、「CVE-2013-2595」、「CVE-2014-2273」)を狙うエクスプロイトコードを含んでいます。この不正アプリは、これらの脆弱性を利用してルート権限を取得し、ユーザに気付かれずに不正アプリをインストールすることができます。
図2:脆弱性を抱えるドライバを狙ったカーネルのエクスプロイトコード
ユーザが気付かないうちに、さまざまな不正アプリが端末にインストールされます。
図3:モバイル端末にインストールされた複数の不正アプリ
この手法でインストールされるアプリには、成人向け動画のように見えるものもありますが、実際はユーザをだますためのものです。
■偽の成人向け動画
弊社が確認した 4つの不正アプリは、成人向け動画のプレーヤを装っていました。ユーザが動画をクリックすると、モバイル端末から、高額料金が発生する「SMSのメッセージ(以下、テキストメッセージ)」が送信され、ユーザはお金を費やすことになります。さらに、支払画面も表示されます。ユーザがお金を支払うと、アプリはさらに支払いを要求します。動画だけでなく、成人向け小説も同様の方法でインストールされます。弊社の製品では、これらのアプリは下記の検出名で検出されます。
- ANDROIDOS_DOWNADMIN.HRX
- ANDROIDOS_PORNER.OPS
- ANDROIDOS_SOUYING.HRX
- ANDROIDOS_CURIOUS.HRX
図4:偽の成人向け動画プレーヤー。約 3米ドル(2015年10月27日現在、約360円)を要求
■偽の出会い系アプリ
さらに偽の出会い系アプリも確認されました。これらのアプリでは、親しみのこもった歓迎のメッセージが表示されますが、実際はボットが自動的にユーザに送信したものです。
図5:ボットから送信された歓迎のメッセージ
ユーザがこれらのメッセージを本物だと思い、返信をしたい場合には、月額 16米ドル(2015年10月27日現在、約1,920円)がアプリから請求されます。
この不正アプリは、弊社の製品で「ANDROIDOS_LOVEFRAUD.HRX」として検出されます。この不正アプリは、大手の出会い系サイトと関係しています。この出会い系サイトは、パスワードやユーザ名、住所などの情報を必要とせずにごく簡単に登録できるため、1億9千万人のユーザを獲得しています。この膨大な登録数は、不正アプリが寄与していると弊社は考えています。
■偽の広告
「ANDROIDOS_LIANGOU.HBT」として検出される不正なゲームアプリは、偽のダウンロードマネージャを作成します。このダウンロードマネージャは、自身を「端末管理者」として登録し、ユーザが容易に削除できないようにします。なお、前述の「ANDROIDOS_DOWNADMIN.HRX」も同様の不正活動を実行します。ユーザが不正アプリを停止しようすると、不正アプリは画面をロックします。
図6:「端末管理者」として登録される不正アプリ
図7:偽のダウンロードマネージャがダウンロードする不正アプリ
不正アプリだけでなく、偽の広告もダウンロードされます。
図8:iPhone6 の偽の広告
こうした手法でモバイル端末にダウンロードされるアプリは、以下の検出名で検出されます。
- ANDROIDOS_DURIAN.HBT
- ANDROIDOS_HHPLUG.HBT
- ANDROIDOS_MCSAPP.HNT
- ANDROIDOS_SMSSNOW.HRX
- ANDROIDOS_YOUAI.HBT
- ANDROIDOS_UUAD.HRX
では、これらの成人向けサイトや不正アプリを作成したのは誰でしょうか。
この攻撃の裏にいるサイバー犯罪者は、不正アプリをホストするためにドメインに意味のない言葉を利用していました。その後しばらくして、ドメインとサーバを変更しています。しかし、ダウンロードされた不正アプリの一部に手がかりがありました。
「ANDROIDOS_SOUYING.HRX」として検出されるアプリは、さらに別の不正アプリをダウンロードする特定の URL と接続しています。この URL のドメインは、中国・杭州にあるアプリの広告会社のものです。この企業は、成人向けサイトやアプリを介してユーザに不正なアプリを拡散していました。
開発者はこの広告会社に依頼して不正なアプリを拡散していました。この企業は、宣伝するアプリを精査していないように見受けられます。上記の「偽の成人向け動画」で説明したように、この企業のアプリ自体も不正活動を実行します。また、この広告会社ドメインに接続している Webサイト上で、何千もの不正アプリがいまだにホストされています。
この脅威の影響を受けたのは中国のユーザだけではありません。弊社のユーザからのフィードバックによると、台湾や日本のユーザも同様に影響を受けています。これらの国の中国語話者がこの脅威の影響を受けた可能性はあります。図9 は、過去30日間でこれらのアプリを検出した国の分布図です。
図9:不正アプリの影響を受けた国の分布
弊社の「ウイルスバスター モバイル」をご利用のユーザは、アプリをインストールする前にアプリをスキャンすることができます。ユーザは、Google の公式アプリストア「Google Play」などの公式なアプリストア以外でダウンロードしないようにして下さい。不正アプリは「端末管理者」として登録されるため、アプリを削除するために端末を工場出荷状態に戻す必要があるかもしれません。
今回の攻撃に関連する不正アプリのハッシュ値は、以下のとおりです。
ANDROIDOS_PORNER.OPS
- c2236c5c02da7efb502a372e46e7fc0d33673bfc
ANDROIDOS_CURIOUS.HRX
- 4c0c74e4a240362e9ee603efab18e4f2266d4249
ANDROIDOS_SOUYING.HRX
- 573f44865809e3a1435a5438aa8d482b12186768
ANDROIDOS_LOVEFRAUD.HRX
- 24b32b2a09eb3130584d8d0d35aa05e3952f2e8b
ANDROIDOS_YOUAI.HRX
- c77a21af5cfe7cd59797ee1eef4d712094264085
ANDROIDOS_DOWNADMIN.HRX
- 5e141f138f110db12c1d749ab2c984e5c86a46b5
ANDROIDOS_LIANGOU.HRX
- 0a2004080409d53f628794241a59e67880d6b2a7
ANDROIDOS_SMSSNOW.HBT
- 085466c14e4dcf1690106352f0046bd2f6c1962f
ANDROIDOS_DURIAN.HRX
- fb0ff3f46ac73cf7c93e7cc2da00d6eeae3c36f2
ANDROIDOS_MCSAPP.HNT
- 563fe5c8b2cfc3b448d7c65d8fd5e24e45f9927b
ANDROIDOS_HHPLUG.HRX
- 5adca9a5e44a216e123cd191ff42d25c4d87eee6
ANDROIDOS_UUAD.HRX
- 95a506cdbe887a86c1f35607ac69ae477d3417b0
参考記事:
- 「Pornographic-themed Malware Hits Android Users in China, Taiwan, Japan」
by Veo Zhang (Mobile Threats Analyst)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)