Facebookのユーザプロフィールから感染するAndroidマルウェアあり

次の記事

プログラマが求職するための完全オープンな“面接試験”CodeSprintが毎週開催へ

android-logo170

Googleが最近導入したマルウェアをブロックするシステム、バウンサーは、Android Marketを悪質なソフトから守るはずだったが、しぶといスパマーやペテン師たちはなんとしてでも制約をかいくぐって、自分のソフトをユーザの携帯にお届けしようとする。その最新の例が、一見すると人畜無害なAndroidアプリ”any_name.apk”だ。そしてどうやらこのマルウェアは、Android携帯上のFacebookのアプリを利用して拡散するらしい。

このソフトを発見したセキュリティ企業Sophosは、Facebookのフレンドリクエストを受け取った直後にこのマルウェアに遭遇した。研究員のVanja Svajcerがそのユーザのプロフィールをチェックしているとき、そのプロフィールのページにリンクがあったのでクリックしてみた。すると見知らぬWebページに連れて行かれ、見知らぬアプリケーションが携帯に自動的にダウンロードされてしまった。

そのソフトのダウンロードとインストールはあっという間に行われてしまい、ユーザの承認や入力を求める場面はまったくない。しかしSvajcerは分析報告の中で言及していないが、Google Android Market以外からのソフトが自動的にインストールされるためには、携帯のデフォルトの設定を変えていなければならない。購入時のAndroid携帯は、公式サイトであるAndroid Marketからしかモバイルアプリをインストールできない設定になっている。でも、通(つう)のAndroidユーザの中には、いろんなところからアプリをダウンロード〜インストールできる自由を求めて、その設定をoffにしている人がいる。そんな外部非公式サイトとして人気が高いのが、たとえばXDA Developersフォーラムだ。

しかし、このようなマルウェアは、通常の操作…この場合はFacebookの利用…にくっついてくる陰険な副作用だ。またAndroid Marketの外に対してはバウンサーは無力だ。その研究員がクリックしたリンクは、URLにapkファイルを示唆するものはない。ごくふつうのWebサイトだ。それはFacebook上のAbout Meのところにあるから、そのユーザのホームページかと思ってしまう。

知らない人からのフレンドリクエストは無視する人が多いと思うが、でも好奇心に誘惑されてしまうこともある。「もしかして、会ったことのある人かしら?」、なんて思ってしまう。そして、してはいけないクリック。そして、感染。

今回のマルウェアは、ペテン師が割引き通話料金サービスでお金を稼ぐ、というタイプだったらしい。これは主に、合衆国以外でよく知られている詐欺だが、それを信じたユーザがその割引き番号を使ってテキストメッセージを送ると、課金される。詐欺師がその番号の所有者であり、お金は被害者の通常の料金自動引き落としに含まれる形で、取られててしまう。電話会社から見ると、何かの有料サービスを使った、としか見えない。

そのアプリは自分をOperaブラウザに結びつけ、暗号化された構成ファイルの中に、そういう有料サービスの番号を使えるすべての国のダイヤルコードがある。

余談だが、数日後にその研究員が同じURLを訪ねると、別のWebサイトに連れて行かれ、新たなapkファイルが自動的にダウンロードされた(”allnew.apk”という笑えるファイル名だ)。それのやることは前と同じだが、バイナリのレベルでは違っている。つまり、同じマルウェアの新型の変種だ。

Androidのバウンサーのようなものは、携帯本体にプレインストールされるべきではないか?

アップデート: この問題をGoogleに伝えたところ、上のSophosのビデオに記録されているようなソフトウェアのインストール過程は、再現できなかったという。Android Marketの外の、しかもマルウェアに乗っ取られたapkファイルだが、ダウンロードはされても自動インストールは生じなかった。インストールして動かすためには、ユーザからのいくつかのアクションが必要だった。…以上がGoogleの試行結果だが、その件で今、Sophosに問い合わせているところだ。

とにかく、バウンサーはAndroidユーザを守るための最初のステップとしてはよろしいけど、Android Marketだけをいくら戸締まり良くしても、スパマーや詐欺師たちは迂回路を必ず見つけるのだ。

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))