ここから本文です

Androidマルウェア「CopyCat」が猛威を振るう

8/14(月) 14:22配信

THE ZERO/ONE

Check Pointのモバイル研究チームの研究者らが、Androidデバイス1400万台を感染させ、そのうち800万台影響を及ぼしたた新たなマルウェアファミリーを発見した。

専門家によると、「CopyCat」と名付けられた新しいAndroidマルウェアによって、この作成者は広告詐欺スキームを実行。2016年4月から5月にかけて150万ドルも稼ぐことができたようだ。

「Check Pointの研究者は、Androidデバイス1400万台に感染し、そのうち約800万台で動作したモバイルマルウェアを特定した。このキャンペーンの背後にいるハッカーは、偽の広告の収益として2ヵ月の間におよそ150万ドルを稼いだ」とCheck Pointの研究者が公開した解析レポートで説明されている。またCopyCatは大規模なキャンペーンであり、1400万台に感染し、うち800万台で実効を発揮したのは前代未聞の成功率だとも述べている。

Check Pointのモバイル研究チームの研究者がCopyCatを発見したのは3月のことだ。感染台数が多いのは東南アジア(55%)とアフリカ(18%)だが、米国での感染数も12%に及ぶ。攻撃者はサードパーティのアプリストアでダウンロードできる人気のアプリを、トロイの木馬化したマルウェアを拡散した。

マルウェアは、標的のモバイルデバイスにインストールされると再起動を待つ。それからそのデバイスに入り込むためにAmazon S3バケットから一連のエクスプロイトをダウンロードする。

「いったんデバイスが再起動すると、CopyCatはAmazonが提供するWebストレージサービスS3のバケットから『アップグレード』パックをダウンロードする。このパックには、マルウェアがデバイスに入り込もうとするための6つの既知のエクスプロイトが含まれている」とレポートは続く。

興味深いことに、CopyCatマルウェアが使っているこれらのエクスプロイトはどれも古いものだが、それでも何百万ものデバイスに入り込んでいる。例えば2014年のTowelrootなど2013~2014年のものだ。つまりCopyCatの攻撃が成功したのは、多数のパッチが当てられていないデバイスが存在しているおかげだろう。

これらのエクスプロイトによりroot権限の奪取に「成功した場合、CopyCatはデバイスのシステムディレクトリに別のコンポーネントをインストール(root権限が必要な操作)して持続性を構築し、除去されづらいようにする」
その悪意のあるコードは、アプリを起動するAndroidコアのZygoteプロセスにコードを注入する。この技術によって、攻撃者は管理権限を獲得することができるのだ。Zygoteを狙ったマルウェアはCopyCatが初めてではない。2016年にKasperskyと Check Point の専門家が、同様の技術を用いたAndroid向けトロイの木馬「Triada」を見つけている。

Check Pointの専門家によると、CopyCatマルウェアの作成者は、Zygoteプロセスにコードを注入することにより、合法的なアプリの参照元IDを自分たちのものと入れ替え不正にインストールされたアプリケーションのクレジットを獲得していた。

またその詐欺師らは偽の広告を表示し、偽のアプリをインストールさせることでも稼いでいた。

C&Cサーバーの解析によって、4月から5月の間に攻撃者はデバイス380万台に偽の広告を出した。また、440万台からGoogle Playでインストールしたアプリのクレジットを盗んだ。

マルウェアの専門家らは、中国のMobiSummer広告ネットワークがCopyCatの背後にいるのではないかと考えている。

「CopyCat攻撃の黒幕が誰なのかは不明だ。しかし、中国の広告ネットワークMobiSummerとの接点が複数ある。ただし、これらのつながりが存在しても、必ずしもMobiSummerがマルウェアを作成したとは限らない。同社の知らぬ間に背後に潜む犯人が同社のMobiSummerのコードやインフラを使用した可能性もある」と解析レポートは述べている。

「MobiSummerとCopyCatの一つ目の接点は、マルウェアとMobiSummer の一部の活動を運用するサーバーだ。さらに、マルウェアのコードの一部はMobiSummerそのものによって署名されており、マルウェアが使用するリモートサービスの一部は同社が作成したものである。またCopyCatは中国のデバイスを狙うのを避けており、これはマルウェアの開発者が中国人で、地元の法執行機関による捜査を完全に回避したがっていることを示唆している。これはマルウェア界では一般的な戦略である」

Check PointはGoogleに調査結果を報告している。
 
翻訳:編集部
原文:CopyCat Android malware infected 14 Million devices and rooted 8 Million

※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

Security Affairs

最終更新:8/14(月) 14:22
THE ZERO/ONE