ビットコインなど複数の仮想通貨発掘を行う不正アプリを正規マーケット上でも確認

2014年2月、セキュリティ専門家によって、「ANDROIDOS_KAGECOIN.HBT」として検出される新たな Android端末を狙う不正アプリが仮想通貨の「マイニング(発掘)」機能を備えていることが報告されました。トレンドマイクロの解析により、こうした不正アプリは、「Bitcoin(ビットコイン)」、「Litecoin」、「Dogecoin」を含む複数の仮想通貨の発掘に関連していることを確認しました。ユーザへの実質的な影響としては、バッテリー寿命の短縮、摩損の増加などで、いずれも端末の短命化につながります。

当初、セキュリティ専門家は、「Football Manager Handheld」や「TuneIn Radio」といった人気アプリをトロイの木馬化したものとして「ANDROIDOS_KAGECOIN」を確認しました。このアプリには、正規の Android 向け「仮想通貨発掘ツール(マイナー)」から流用した発掘のためのプログラムコードが組み込まれていました。このコードは、有名な正規マイナー「cpuminer」を元にしたものです。

サイバー犯罪者は、この不正なコードを隠すために、アプリ内の「Google Mobile Ads」の部分を変更していました(図1 参照)。

図1:変更された「Google Mobile Ads」のコード
図1:変更された「Google Mobile Ads」のコード

「ANDROIDOS_KAGECOIN.HBT」は、感染端末がインターネットに接続したことを確認すると、バックグラウンドでサービスとして実行されます。初期設定では、ダイナミックドメインへ接続し、その後共同採掘ネットワークである匿名の「Dogecoin」用マイニングプールへ誘導されます。

サイバー犯罪者は、2014年2月17日の時点で、この不正アプリのネットワークを利用して、何千もの「Dogecoin」を稼ぎました。その後、サイバー犯罪者は、マイニングプールを変更しました。この不正アプリは、仮想通貨発掘のための環境設定を更新するのに必要な情報が含まれたファイルをダウンロードするように設定されています。環境設定ファイルが更新された後、有名なマイニングプール「WafflePool」に接続しました。そして、発掘されたビットコインは、サイバー犯罪者のビットコインウォレットに転送される形で複数回に渡って支払われました。

図2:マイニングプールの環境設定コード
図2:マイニングプールの環境設定コード

上述した不正アプリは、Android向け正規アプリマーケットである「Google Play」ではなく、サードパーティのアプリマーケットで確認されました。しかし、弊社は、類似の仮想通貨の発掘を狙う不正アプリを Google Play 内でも確認しています。これらのアプリは、何百万というユーザによってダウンロードされています。つまり、世界中の多くの Android端末が、サイバー犯罪者によって、仮想通貨の発掘に利用されていると言えます。弊社では、この新たな仮想通貨発掘不正アプリを「ANDROIDOS_KAGECOIN.HBTB」として検出対応しています。2014年3月25日現在、いまだこれらの発掘機能を備えた不正アプリは、入手可能です。

図3:Google Play上に存在した仮想通貨の発掘機能を備えた不正アプリ
図3:Google Play上に存在した仮想通貨の発掘機能を備えた不正アプリ

図4:仮想通貨発掘不正アプリのダウンロード数
図4:仮想通貨発掘不正アプリのダウンロード数

これらの不正アプリのコードを解析した結果、他の不正アプリと異なり、端末が充電中のみに発掘が実行されることがわかりました。これは、電池使用量の増加を気付かれにくくするためだと思われます。

図5:仮想通貨発掘用のコード
図5:仮想通貨発掘用のコード

発掘環境の設定ファイルを更新する方法も同じように存在します。環境設定ファイルの解析から、サイバー犯罪者は発掘対象を「Litecoin」へ切り替えることを狙っていることが推測できました(図6 参照)。

図6:「Litecoin」の発掘への切り替えを表示する環境設定ファイル
図6:「Litecoin」の発掘への切り替えを表示する環境設定ファイル

大量の感染端末から、サイバー犯罪者は、相当量の「Dogecoin」を集めているものと思われます。

これらの不正アプリの Webサイト上の説明や規約は、曖昧な言葉や漠然とした専門用語を利用しているため、ユーザは、自身の端末が潜在的に仮想通貨の発掘に利用される可能性があることを認識できない可能性があります。

サイバー犯罪者は、非常に賢いのかもしれませんが、携帯端末が仮想通貨発掘のために十分な性能を持っていないことは、考慮しなかったのかもしれません。ユーザは、不正アプリの異様な挙動にすぐに気が付きます。充電の遅さや過剰な熱を持つ端末など、不正アプリの存在は完全には隠せません。もちろん、サイバー犯罪者は、携帯端末を利用して金銭を稼ぐことはできますが、非常に時間がかかります。

突然、電話やタブレットの充電が遅くなったり、熱くなったり、すぐに電池がなくなるなどの症状を経験したユーザは、今回のような脅威にさらされた可能性を考慮する必要があるでしょう。また、Google Play で配布されているアプリであっても、残念ながら必ず安全というわけではありません。

弊社は、この問題について Google Play セキュリティチームに報告しています。

参考記事:

  • Mobile Malware Mines Dogecoins and Litecoins for Bitcoin Payout
    by Veo Zhang (Mobile Threats Analyst)

    •  翻訳:木内 牧(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 2013年 年間セキュリティラウンドアップ:金銭を狙う攻撃が世界規模で拡大
    2. モバイル端末を狙った不正アプリおよび高リスクアプリが200万を突破
    3. 「2014 FIFA ワールドカップ」に便乗する脅威、Android端末も視野に。偽アプリ多数確認
    4. MacからiPhone/iPadをも狙う「WireLurker」、その危険性と行うべき対策は?