デジタル署名を無効化することなく攻撃者が正規の Android アプリに悪質なコードをインジェクトできるマスターキー脆弱性が発見されたことは、今月の初めにお伝えしたとおりです。シマンテックは、悪用が容易であることから、この脆弱性がすぐに利用されるだろうと予測していましたが、残念ながらその予測のとおりになっています。
ノートン モバイルインサイト(何百というマーケットプレイスから Android アプリを採取して自動的に解析するシマンテックのシステム)によって、この脆弱性が実際に悪用されている初めての例が検出されたのです。シマンテックは、問題のあるアプリを Android.Skullkey として検出します。
今回、2 つのアプリが悪質な処理に感染していることが確認されました。どちらも、病院を検索して予約できる正規のアプリであり、中国の Android マーケットプレイスで公開されているものです。
図 1. 感染した 2 つのアプリのスクリーンショット
攻撃者は両方のアプリを取得して、デバイスのリモート制御、IMEI や電話番号といった重要な情報の窃盗、プレミアム SMS メッセージの送信などを可能にするコードを追加しています。また、いくつかの中国製モバイルセキュリティソフトウェアアプリがインストールされている場合には、ルートコマンドを使ってそれを無効にします。
図 2. インジェクトされるコードのスニペット
攻撃者は、この脆弱性を悪用して元の Android アプリを改変し、新しい classes.dex ファイル(Android アプリのコードを含むファイル)と、新しい Android マニフェストファイル(許可を指定しているファイル)を追加しています。
図 3. Android アプリのパッケージに含まれるファイル
攻撃者は今後も、この脆弱性を悪用して無防備なユーザーのデバイスへの感染を続けると予測されます。アプリは、信頼できる Android アプリマーケットプレイスからのみダウンロードするようにしてください。ノートン モバイルセキュリティを使用すると、他の脅威と同様にこの脅威からも保護することができます。また、Norton Halt(英語版)を使用すると、モバイルデバイスがこの脆弱性の影響を受けやすくなっている場合に警告が表示されます。
2013 年 7 月 24 日更新 - 同じ攻撃によって感染したさらに 4 つの Android アプリが、サードパーティのアプリサイトで公開されていることが確認されました。アプリの種類は、人気のあるニュースアプリ、アーケードゲーム、カードゲーム、ギャンブル/宝くじアプリの 4 つです。これらのアプリはすべて、中国語ユーザー向けに開発されたものです。
また、Android.Skullkey は、デバイスに登録されているすべての連絡先に対して、hldc.com にあるモバイルゲームへのリンクが掲載されたテキストメッセージを送信することがわかっています。このサイトは現在は停止しています。
図 4. すべての連絡先に送信されるテキストメッセージ。#name# には連絡先の名前が入る。
中国語のメッセージの翻訳: 「[連絡先の名前]、[URL] からゲームをダウンロードしてください。一緒にゲームで PK を仕掛けてポイントを稼ごう。」
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。