正規マーケット「Google Play」上で公開されていた「偽Flash Player」の正体は?

トレンドマイクロの脅威調査機関である「Forward-looking Threat Research(FTR)」では、さまざまな調査を行っています。その調査のひとつから、Android向け正規アプリマーケットである「Google Play」上で、9月4日前後から「Adobe Flash Player」の名称を偽装する不審なアプリが公開されていたことを確認しました。既にトレンドマイクロ製品ではこの「偽Flash Player」を「ANDROIDOS_REVMOB.A」として検出可能です。

「Adobe Flash Player」の開発元である Adobe では、既に Andorid 4.1 以降のバージョンへの Flash Player の対応を終了しており、2012年8月15日に Google Play 上での提供も終了しています(参考:Adobe の発表)。しかし、それ以前は Flash非対応の iPhone、iOS に対して、Android OS の大きな差別点となっており、現在でも Flash対応への需要は根強く残っているようです。攻撃者はこの Google Play 上での Flash Player 不在の状況と、根強い需要の双方に着目し、有効な攻撃手段として Flash Player の偽装を選択したものと考えられます。この攻撃者の狙いは的中したと言えるでしょう。公開から FTR の調査時点までにこの「偽Flash Player」は 5万件以上のダウンロードが行われていました。

図1:Google Play上に公開されていた「偽Adobe Flash Player」のイメージ
図1:Google Play上に公開されていた「偽Adobe Flash Player」のイメージ

ただし、Google Play 上でも既に適切な対処がなされており、9月9日の時点でこの不審なアプリは公開中止となり削除されています。トレンドマイクロでは今回、この「偽Flash Player」こと「ANDROIDOS_REVMOB.A」の配布時の手口と活動内容について解析を行いました。

「ANDROIDOS_REVMOB.A」は Google Play上で「Adobe Flash Player」のアプリ名で公開されており、デベロッパー名も「Flash Player for Android」と完全に偽装を狙っていることがわかります。しかしデベロッパーのメールアドレスは、「xymozhapqch@~」という無意味な文字列のフリーメールアドレスとなっていました。アプリインストール前にはデベロッパーの情報をチェックすることで、信頼できるアプリかどうか判定できたかもしれません。トレンドマイクロでは、もう一段深くアプリモジュール内の署名情報も確認したところ、でたらめな内容となっていることがわかりました。

図2:アプリに内包されている署名情報。無意味な文字列となっている
図2:アプリに内包されている署名情報。無意味な文字列となっている

「ANDROIDOS_REVMOB.A」は自身の活動を偽装するため、正規の Flash Player のモジュールをダウンロードしています。Google Play上での正規Flash Player の公開は終了していますが、Adobe のオフィシャルサイト上での開発者向けアーカイブ公開は継続されています。この正規Web上の開発者向けアーカイブをダウンロードすることにより、表面的には Flash Player がインストールされ、ユーザが不審を抱かないような偽装がなされていました。

図3:「ANDROIDOS_REVMOB.A」が正規FlashPlayerをダウンロードするためのコード
図3:「ANDROIDOS_REVMOB.A」が正規FlashPlayerをダウンロードするためのコード

正規Flash Player のダウンロードの裏で、「ANDROIDOS_REVMOB.A」自身は、広告表示を行うアドウェアの活動を行うことを確認しました。「ANDROIDOS_REVMOB.A」は複数の広告モジュールを内包しており、中には通知領域への広告表示のような禁止されている広告手法を行う、グレーな広告モジュールが含まれていることも確認しています。アドウェアの活動は、バックドアや情報漏えいを行う不正アプリよりも危険性は少ないものとして見過ごされがちです。しかし、このようなアドウェアによる不正な広告表示が、サイバー犯罪者の収入源となっています。広告表示は無償アプリを支える重要なエコシステムですが、サイバー犯罪者の収益システムとしても悪用されているのが現状と言えます。

図3:「ANDROIDOS_REVMOB.A」が内包している広告モジュールのリスト表示
図3:「ANDROIDOS_REVMOB.A」が内包している広告モジュールのリスト表示

詳細解析の結果、Flash Playerを偽装した不正アプリ「ANDROIDOS_REVMOB.A」の最終的な目的はアドウェア活動による金銭利益ということがわかりました。このような人気アプリへの偽装により、不正アプリを配布する攻撃手段は、これまでも中心的な方法でしたが、今後も続くことが予測されます。アプリ名だけで正規アプリと判断するのではなく、要求する権限情報やデベロッパーなどの周辺情報も確認して判断すべきでしょう。

また、今回の「ANDROIDOS_REVMOB.A」の偽装に利用された Flash Player ですが、先述の通り、Google Play上での提供は終了していますが、Adobe の正規サイトからは入手することが可能です。Android 4.1 以降のサポートは終了していることを理解した上で、Flash Player の利用が必要なユーザは、Adobe の説明に従って入手することを推奨します。

トレンドマイクロでは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の 1つであるモバイルアプリケーション評価技術「Trend Micro Mobile App Reputation」で、「ANDROIDOS_REVMOB.A」を検出対応しています。弊社製品をご利用のお客様は、「ウイルスバスター モバイル for Android」、「Trend Micro Mobile Security」により守られています。

※解析およびリサーチ:林 憲明(Forward-looking Threat Research)

Related posts:

  1. 米国大統領選挙を悪用するWebからの脅威
  2. Android端末を狙う標的型サイバー攻撃の兆候をLuckycat のインフラに確認
  3. 金融機関の情報を狙う不正プログラム「CARBERP」の再来
  4. モバイル脅威の現状:Android向け不正アプリの23%がGoogle Play経由で提供