2015年7月、伊企業「Hacking Team」の情報漏えい事例によってエクスプロイトコードが流出し、多くの攻撃の連鎖を引き起こしました。発生から数カ月経過した今なお、情報漏えいの余波は継続しています。トレンドマイクロは、Hacking Team から流出したエクスプロイトを利用した不正な Androidアプリを複数確認しました。ある Webサイトで確認されたこれらのアプリは、エクスプロイトに成功した場合、攻撃者が遠隔操作でルート権限取得を可能にする不正アプリです。Android 4.4 KitKat およびそれ以前のバージョンで動作するモバイル端末は、この脆弱性を利用した攻撃の影響を受ける恐れがあります。これは Android端末全体の57%に当たります。
■ 攻撃の詳細
弊社の解析によると、不正なアプリは「reed」と呼ばれるエクスプロイトコードを含んでおり、このreedが Hacking Team から流出したエクスプロイトコード「Kernel Waiter Exploit」を取り込んでいます。Kernel Waiter Exploit は、モバイル端末にバックドアを設置するために、脆弱性 CVE-2014-3153 を突くルート化ツール「TowelRoot」を利用します。TowelRoot が利用する脆弱性は、Linux に存在する比較的古いもので、2014年に修正プログラムが公開済みです。
不正プログラムはこのバックドアを利用して、コマンド&コントロール(C&C)サーバ「hxxps://remote[.]ibtubt[.]com/phone/」から、ルート権限で実行される最新のコードを受信します。
図1:Hacking Team から流出したエクスプロイトコード
攻撃の背後にいるサイバー犯罪者は、このエクスプロイトコードを、Webサイト「hxxp://risechen[.]b0[.]upaiyun[.]com」で公開されている複数のゲームアプリやランチャーアプリに埋め込みました。「Maria’s coffie shop」、「酷酷斗地主」、「iLauncher」、「One Launcher」および「Launcher IP Style 6」などがその例です。弊社は、エクスプロイトコードが埋め込まれているアプリをを少なくとも88個確認しました。なお、現在これらの不正アプリはどのサードパーティのアプリストアでも取扱っていないようです。
図2:エクスプロイトコードが埋め込まれた不正なゲームアプリの例
注目すべき点として、弊社は「Motion Launcher」と呼ばれるランチャーアプリの、不正でない古いバージョン「1.0.62_how_1504221926」が、Google の公式アプリストア「Google Play」で公開されているのを確認しました。不正なコードが含まれている方の新しいバージョン「1.0.78_how_1508051719」は、Google Play で公開されている古いバージョンのアプリと同じ証明書を使用し署名されていました。これはどちらのアプリも同じ作成者によって作成されたことを示しています。どちらのアプリのコードにも、同じ作成者名「Ren Fei」が記載されています。弊社は、不正なバージョンのアプリは Google の評価過程で落とされ、Google Play での公開に至らなかったと推測します。
図3:Google Play で公開されている、不正でないバージョンのランチャーアプリ
図4:不正でないアプリと不正アプリの対比。同じ署名から作成者が同一であることを示す
トレンドマイクロは、このエクスプロイトコードを「ANDROIDOS_TOWELROOT.A」として検出します。弊社クラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によると、主にアジア太平洋地域のユーザが影響を受けています。
図5:「TowelRoot」が埋め込まれた不正アプリの影響を受けた国
■ 全貌を明らかにする
攻撃がどのように実行されるかをさらに理解するため、これまで得た情報をまとめます。まず、アプリが公開されている Webサイト「hxxp://risechen[.]b0[.]upaiyun[.]com」を調査しました。不正アプリが提供されていたコンテンツ配信ネットワーク(CDN)の Webサイト「upaiyun.com」は正規のクラウドサービスプロバイダですが、不正アプリはこのサービスを悪用して提供されていました。また、ユーザが Androidアプリのパッケージである APKファイルを、不正なサイトからダウンロードする時、あるいは他のアプリからのおすすめでダウンロードする時に「upaiyun.com」に誘導されることも確認しました。なお、弊社はこの事例について upaiyun に報告済みです。
問題のアプリは、不正なアプリストアである「hxxp://android[.]kukool[.]net/api/android/appstore/v2/realtime」にも接続します。中国のゲーム会社に所属するこの会社は、正規アプリをサードパーティのアプリストアへ、さらに Google Play へも配信しています。正規アプリに推薦されることによって、不正アプリが不正なアプリストアからユーザにダウンロードされます。
この攻撃で、サイバー犯罪者はモバイル端末にバックドアを設置するため TowelRoot を利用します。また C&Cサーバからダウンロードした任意の不正なコードをルート権限で実行することにより、モバイル端末のセキュリティを侵害することができます。更新されていないモバイル端末が感染するとその端末はボットの一部となることから、遠隔操作型不正プログラムと呼べるかもしれません。いくつかの亜種は端末管理者ロック機能やアンインストールを回避するためにアプリを非表示にする機能を備えています。
Lollipop 以降の最新の Android端末はこの攻撃による影響を受けません。そのため、論理的にはユーザが Android OS を更新すれば問題は解決しますが、異なる Android OS のバージョンが混在している現状、あまり実際的な対策ではないと考えられます。
■ トレンドマイクロの対策
トレンドマイクロの個人利用者向け「ウイルスバスター モバイル」および法人向け「Trend Micro Mobile Security™」は、未知のソースからのアプリをスキャンすることによりユーザのアンドロイド端末を保護します。「Trend Micro™ Mobile Security」に搭載されているクラウド型セキュリティ技術基盤「Smart Protection Network™(SPN)」 および「Mobile App Reputation」によって、これらの不正なアプリを検知し、またこの攻撃に関連する不正な URL をブロックします。もしすでに端末が感染している場合、バックドアを削除するためファームウェアの更新が必要です。
不正アプリの名称、SHA1ハッシュ値およびこの脅威に関連する URL は、こちらを参照してください。
※協力執筆者:Razor Huang および CH Lei
参考記事:
- 「Kernel Waiter Exploit from the Hacking Team Leak Still Being Used」
by Veo Zhang(Mobile Threats Analyst)
※2016年5月19日に公開された記事の翻訳版です。
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)