シマンテックは、モバイルプラットフォームにおける SMS 詐欺に関連した大規模攻撃の監視をしばらく前から続けてきましたが、今もまだ新しい動きが絶えず確認されています。新しいドメインが毎日のように作成され、新しい亜種が常にリリースされています。ほとんどの活動は特筆するほどのものではありませんが、つい先日も、サーバーサイドポリモーフィズムを利用した APK マルウェアに関する注目すべき動向について論じたばかりです。今週はじめシマンテックは、技術的に目新しくないものの、新しい活動に関する警告という点で注意が必要な新しいタイプのサイトを確認しました。
少し前のことですが、偽の Android マーケットが公開され、最終的にマルウェアと判定されたさまざまなアプリがホスティングされていたことがありました。以下の図でもわかるように、ページの外見は公式の Android マーケットと若干異なっています。
詐欺師はその後、最新の Android マーケットにもっとよく似た改訂バージョンを公開しました。実際、URL さえ見なければ、普通の人には偽のマーケットと公式のマーケットの区別がつかないかもしれません。
実際のアプリケーションのページの一例を見てみましょう。公式ページからまるまるコピーアンドペーストされたように瓜二つです。
しかし、このページは本物ではなく、このページからダウンロードされるアプリももちろん本物ではありません。以下に示したのは、同一のアプリケーションを数分間隔で 3 回ダウンロードした結果です。ファイルサイズが大きく異なることに注目してください。このサイトが、セキュリティソフトウェアによる検出をすり抜けるために、サーバーサイドポリモーフィズムを利用してパッケージの内容を変更していることが、この事実からわかります。3 つのファイルごとに差があるだけではなく、3 つのファイルのいずれも以前の亜種よりサイズがはるかに大きくなっていることも興味深い点です。以前の亜種は、サイズがおよそ 50 ~100 KB 程度でしたが、この図でわかるとおり、現在のファイルサイズは 1 MB 前後に膨らんでいます。サイズを大きくすることも、正規のアプリケーションらしく見せる手口と考えられます。機能の点では以前の亜種とまったく変わりがないので、ではいったいサイズが大きくなった原因は何なのでしょうか。
その犯人は、"res\raw" フォルダに含まれるファイルです。以下の図に示したとおり、まったく同一の 24 KB のファイルが無数に存在し、それがパッケージを膨らませています。24 KB とは、ファイルをパッケージ解除した後のサイズである点に注意してください。3 つのパッケージの "res\raw" フォルダに含まれるファイルの数は、それぞれ 3,544、3,748、2,664 でした。このファイル数にファイルサイズを掛け、圧縮解除の比率で計算すれば、各ファイルについて前述のようなファイルサイズになるということです。したがって、これらのパッケージが相互に一意性を持つ原因は、ひとえに "res\raw" フォルダに含まれているファイル数の違いということになります。
しかも、これらのファイルには、以下の図のように意味のないテキストしか含まれていません。
SMS 詐欺に利用される悪質な Android アプリケーションの常套として、このマルウェアも SMS メッセージを送信する機能の許可を求めてきます。アプリケーションの実際の名前は、ダウンロードページにあるアプリケーション名ではなく "Installer" です。これも、この種のマルウェアに共通する特徴です。"Installer" という名前、あるいはこの単語のロシア語訳を見かけた場合や、アプリケーションが SMS 送信の許可を求める場合には、せっかく入手したはずのアプリケーションが正規のものではない可能性が高いと言えます。
今回のアプリケーションは、ロシア語を読めるユーザーを標的にしていますが、各種のマーケットやファイル共有サービスに混入したり、メールの添付ファイルとして利用されたりする可能性も、わずかながら残っています(あるいは最終的にそうなります)。したがって、スマートフォンにアプリケーションをインストールするときには常に注意が必要です。いつものことですが、アプリケーションは信頼できるソースからダウンロードするようにし、アプリケーションのインストール時に要求される許可にも注意を払うようにしてください。シマンテックのノートン モバイルセキュリティをお使いであれば、Android.Opfake としてブログで報告されている亜種からは保護されます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。