Androidマルウェア「CopyCat」が猛威を振るう

『Security Affairs』

August 10, 2017 08:00
by 『Security Affairs』

Check Pointのモバイル研究チームの研究者らが、Androidデバイス1400万台を感染させ、そのうち800万台影響を及ぼしたた新たなマルウェアファミリーを発見した。

専門家によると、「CopyCat」と名付けられた新しいAndroidマルウェアによって、この作成者は広告詐欺スキームを実行。2016年4月から5月にかけて150万ドルも稼ぐことができたようだ。

「Check Pointの研究者は、Androidデバイス1400万台に感染し、そのうち約800万台で動作したモバイルマルウェアを特定した。このキャンペーンの背後にいるハッカーは、偽の広告の収益として2ヵ月の間におよそ150万ドルを稼いだ」とCheck Pointの研究者が公開した解析レポートで説明されている。またCopyCatは大規模なキャンペーンであり、1400万台に感染し、うち800万台で実効を発揮したのは前代未聞の成功率だとも述べている。

Check Pointのモバイル研究チームの研究者がCopyCatを発見したのは3月のことだ。感染台数が多いのは東南アジア(55%)とアフリカ(18%)だが、米国での感染数も12%に及ぶ。攻撃者はサードパーティのアプリストアでダウンロードできる人気のアプリを、トロイの木馬化したマルウェアを拡散した。

マルウェアは、標的のモバイルデバイスにインストールされると再起動を待つ。それからそのデバイスに入り込むためにAmazon S3バケットから一連のエクスプロイトをダウンロードする。

「いったんデバイスが再起動すると、CopyCatはAmazonが提供するWebストレージサービスS3のバケットから『アップグレード』パックをダウンロードする。このパックには、マルウェアがデバイスに入り込もうとするための6つの既知のエクスプロイトが含まれている」とレポートは続く。

興味深いことに、CopyCatマルウェアが使っているこれらのエクスプロイトはどれも古いものだが、それでも何百万ものデバイスに入り込んでいる。例えば2014年のTowelrootなど2013〜2014年のものだ。つまりCopyCatの攻撃が成功したのは、多数のパッチが当てられていないデバイスが存在しているおかげだろう。

これらのエクスプロイトによりroot権限の奪取に「成功した場合、CopyCatはデバイスのシステムディレクトリに別のコンポーネントをインストール(root権限が必要な操作)して持続性を構築し、除去されづらいようにする」

その悪意のあるコードは、アプリを起動するAndroidコアのZygoteプロセスにコードを注入する。この技術によって、攻撃者は管理権限を獲得することができるのだ。Zygoteを狙ったマルウェアはCopyCatが初めてではない。2016年にKasperskyと Check Point の専門家が、同様の技術を用いたAndroid向けトロイの木馬「Triada」を見つけている。

Check Pointの専門家によると、CopyCatマルウェアの作成者は、Zygoteプロセスにコードを注入することにより、合法的なアプリの参照元IDを自分たちのものと入れ替え不正にインストールされたアプリケーションのクレジットを獲得していた。

またその詐欺師らは偽の広告を表示し、偽のアプリをインストールさせることでも稼いでいた。

C&Cサーバーの解析によって、4月から5月の間に攻撃者はデバイス380万台に偽の広告を出した。また、440万台からGoogle Playでインストールしたアプリのクレジットを盗んだ。

マルウェアの専門家らは、中国のMobiSummer広告ネットワークがCopyCatの背後にいるのではないかと考えている。

「CopyCat攻撃の黒幕が誰なのかは不明だ。しかし、中国の広告ネットワークMobiSummerとの接点が複数ある。ただし、これらのつながりが存在しても、必ずしもMobiSummerがマルウェアを作成したとは限らない。同社の知らぬ間に背後に潜む犯人が同社のMobiSummerのコードやインフラを使用した可能性もある」と解析レポートは述べている。

「MobiSummerとCopyCatの一つ目の接点は、マルウェアとMobiSummer の一部の活動を運用するサーバーだ。さらに、マルウェアのコードの一部はMobiSummerそのものによって署名されており、マルウェアが使用するリモートサービスの一部は同社が作成したものである。またCopyCatは中国のデバイスを狙うのを避けており、これはマルウェアの開発者が中国人で、地元の法執行機関による捜査を完全に回避したがっていることを示唆している。これはマルウェア界では一般的な戦略である」

Check PointはGoogleに調査結果を報告している。
 
翻訳:編集部
原文:CopyCat Android malware infected 14 Million devices and rooted 8 Million

※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…