Androidマルウェア「CopyCat」が猛威を振るう

『Security Affairs』

August 10, 2017 08:00
by 『Security Affairs』

Check Pointのモバイル研究チームの研究者らが、Androidデバイス1400万台を感染させ、そのうち800万台影響を及ぼしたた新たなマルウェアファミリーを発見した。

専門家によると、「CopyCat」と名付けられた新しいAndroidマルウェアによって、この作成者は広告詐欺スキームを実行。2016年4月から5月にかけて150万ドルも稼ぐことができたようだ。

「Check Pointの研究者は、Androidデバイス1400万台に感染し、そのうち約800万台で動作したモバイルマルウェアを特定した。このキャンペーンの背後にいるハッカーは、偽の広告の収益として2ヵ月の間におよそ150万ドルを稼いだ」とCheck Pointの研究者が公開した解析レポートで説明されている。またCopyCatは大規模なキャンペーンであり、1400万台に感染し、うち800万台で実効を発揮したのは前代未聞の成功率だとも述べている。

Check Pointのモバイル研究チームの研究者がCopyCatを発見したのは3月のことだ。感染台数が多いのは東南アジア(55%)とアフリカ(18%)だが、米国での感染数も12%に及ぶ。攻撃者はサードパーティのアプリストアでダウンロードできる人気のアプリを、トロイの木馬化したマルウェアを拡散した。

マルウェアは、標的のモバイルデバイスにインストールされると再起動を待つ。それからそのデバイスに入り込むためにAmazon S3バケットから一連のエクスプロイトをダウンロードする。

「いったんデバイスが再起動すると、CopyCatはAmazonが提供するWebストレージサービスS3のバケットから『アップグレード』パックをダウンロードする。このパックには、マルウェアがデバイスに入り込もうとするための6つの既知のエクスプロイトが含まれている」とレポートは続く。

興味深いことに、CopyCatマルウェアが使っているこれらのエクスプロイトはどれも古いものだが、それでも何百万ものデバイスに入り込んでいる。例えば2014年のTowelrootなど2013〜2014年のものだ。つまりCopyCatの攻撃が成功したのは、多数のパッチが当てられていないデバイスが存在しているおかげだろう。

これらのエクスプロイトによりroot権限の奪取に「成功した場合、CopyCatはデバイスのシステムディレクトリに別のコンポーネントをインストール(root権限が必要な操作)して持続性を構築し、除去されづらいようにする」

その悪意のあるコードは、アプリを起動するAndroidコアのZygoteプロセスにコードを注入する。この技術によって、攻撃者は管理権限を獲得することができるのだ。Zygoteを狙ったマルウェアはCopyCatが初めてではない。2016年にKasperskyと Check Point の専門家が、同様の技術を用いたAndroid向けトロイの木馬「Triada」を見つけている。

Check Pointの専門家によると、CopyCatマルウェアの作成者は、Zygoteプロセスにコードを注入することにより、合法的なアプリの参照元IDを自分たちのものと入れ替え不正にインストールされたアプリケーションのクレジットを獲得していた。

またその詐欺師らは偽の広告を表示し、偽のアプリをインストールさせることでも稼いでいた。

C&Cサーバーの解析によって、4月から5月の間に攻撃者はデバイス380万台に偽の広告を出した。また、440万台からGoogle Playでインストールしたアプリのクレジットを盗んだ。

マルウェアの専門家らは、中国のMobiSummer広告ネットワークがCopyCatの背後にいるのではないかと考えている。

「CopyCat攻撃の黒幕が誰なのかは不明だ。しかし、中国の広告ネットワークMobiSummerとの接点が複数ある。ただし、これらのつながりが存在しても、必ずしもMobiSummerがマルウェアを作成したとは限らない。同社の知らぬ間に背後に潜む犯人が同社のMobiSummerのコードやインフラを使用した可能性もある」と解析レポートは述べている。

「MobiSummerとCopyCatの一つ目の接点は、マルウェアとMobiSummer の一部の活動を運用するサーバーだ。さらに、マルウェアのコードの一部はMobiSummerそのものによって署名されており、マルウェアが使用するリモートサービスの一部は同社が作成したものである。またCopyCatは中国のデバイスを狙うのを避けており、これはマルウェアの開発者が中国人で、地元の法執行機関による捜査を完全に回避したがっていることを示唆している。これはマルウェア界では一般的な戦略である」

Check PointはGoogleに調査結果を報告している。
 
翻訳:編集部
原文:CopyCat Android malware infected 14 Million devices and rooted 8 Million

※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。




地図サービスが悪用される!? 住所とピンのズレは裏世界の入り口

October 23, 2017 08:00

by 牧野武文

中国で最も多くの人が使っている百度地図に、不思議なPOI(Point of Interest)、いわゆるピンが大量に登録されている。ピンの位置と、説明に記載されている住所がまったくかけ離れているのだ。法制日報の記者が、この不思議なPOI地点に足を運んで取材をしてみると、そこは上海の裏社会に繋がってい…

こっそり仮想通貨をマイニングする侵入者たち

October 20, 2017 08:00

by Zeljka Zorz

仮想通貨を渇望しながら、購入やマイニングなどにお金を払いたくないハッカーたちは、ユーザーのウォレットやコンピューター、人気のウェブサイト、そしてパブリッククラウドコンピューティングー環境を利用して、仮想通貨を手に入れようとしている。 マイニングのソフトウェア・マルウェアは、すっかり周知となった厄介者…

IoTアダルトグッズからわかる「BLE通信のセキュリティ問題」

October 18, 2017 08:00

by 江添 佳代子

ペネトレーションテストとセキュリティサービスの企業組織体「Pentest Partners」の研究者が先日、IoTのアダルトグッズの脆弱性に関する研究結果をブログで発表した。人々の注目を集めやすいグッズの話題だったためか、それは単純に面白いセキュリティニュースとして一般メディアでも取り上げられている…

自動で犯人を見つけて警察に通報する中国の監視カメラシステム

October 16, 2017 08:00

by 牧野武文

米国のテレビドラマ『24』に登場するCTU(Counter Terrorist Unit=テロ対策ユニット)は、街頭の監視カメラに侵入し、テロリストの姿をいったん補足すると、次々と別のカメラを使って追尾をしていくシーンがある。広東省の深圳を始めとする各都市で、このような監視カメラ追尾システムの試験運…