Androidマルウェア「CopyCat」が猛威を振るう

『Security Affairs』

August 10, 2017 08:00
by 『Security Affairs』

Check Pointのモバイル研究チームの研究者らが、Androidデバイス1400万台を感染させ、そのうち800万台影響を及ぼしたた新たなマルウェアファミリーを発見した。

専門家によると、「CopyCat」と名付けられた新しいAndroidマルウェアによって、この作成者は広告詐欺スキームを実行。2016年4月から5月にかけて150万ドルも稼ぐことができたようだ。

「Check Pointの研究者は、Androidデバイス1400万台に感染し、そのうち約800万台で動作したモバイルマルウェアを特定した。このキャンペーンの背後にいるハッカーは、偽の広告の収益として2ヵ月の間におよそ150万ドルを稼いだ」とCheck Pointの研究者が公開した解析レポートで説明されている。またCopyCatは大規模なキャンペーンであり、1400万台に感染し、うち800万台で実効を発揮したのは前代未聞の成功率だとも述べている。

Check Pointのモバイル研究チームの研究者がCopyCatを発見したのは3月のことだ。感染台数が多いのは東南アジア(55%)とアフリカ(18%)だが、米国での感染数も12%に及ぶ。攻撃者はサードパーティのアプリストアでダウンロードできる人気のアプリを、トロイの木馬化したマルウェアを拡散した。

マルウェアは、標的のモバイルデバイスにインストールされると再起動を待つ。それからそのデバイスに入り込むためにAmazon S3バケットから一連のエクスプロイトをダウンロードする。

「いったんデバイスが再起動すると、CopyCatはAmazonが提供するWebストレージサービスS3のバケットから『アップグレード』パックをダウンロードする。このパックには、マルウェアがデバイスに入り込もうとするための6つの既知のエクスプロイトが含まれている」とレポートは続く。

興味深いことに、CopyCatマルウェアが使っているこれらのエクスプロイトはどれも古いものだが、それでも何百万ものデバイスに入り込んでいる。例えば2014年のTowelrootなど2013〜2014年のものだ。つまりCopyCatの攻撃が成功したのは、多数のパッチが当てられていないデバイスが存在しているおかげだろう。

これらのエクスプロイトによりroot権限の奪取に「成功した場合、CopyCatはデバイスのシステムディレクトリに別のコンポーネントをインストール(root権限が必要な操作)して持続性を構築し、除去されづらいようにする」

その悪意のあるコードは、アプリを起動するAndroidコアのZygoteプロセスにコードを注入する。この技術によって、攻撃者は管理権限を獲得することができるのだ。Zygoteを狙ったマルウェアはCopyCatが初めてではない。2016年にKasperskyと Check Point の専門家が、同様の技術を用いたAndroid向けトロイの木馬「Triada」を見つけている。

Check Pointの専門家によると、CopyCatマルウェアの作成者は、Zygoteプロセスにコードを注入することにより、合法的なアプリの参照元IDを自分たちのものと入れ替え不正にインストールされたアプリケーションのクレジットを獲得していた。

またその詐欺師らは偽の広告を表示し、偽のアプリをインストールさせることでも稼いでいた。

C&Cサーバーの解析によって、4月から5月の間に攻撃者はデバイス380万台に偽の広告を出した。また、440万台からGoogle Playでインストールしたアプリのクレジットを盗んだ。

マルウェアの専門家らは、中国のMobiSummer広告ネットワークがCopyCatの背後にいるのではないかと考えている。

「CopyCat攻撃の黒幕が誰なのかは不明だ。しかし、中国の広告ネットワークMobiSummerとの接点が複数ある。ただし、これらのつながりが存在しても、必ずしもMobiSummerがマルウェアを作成したとは限らない。同社の知らぬ間に背後に潜む犯人が同社のMobiSummerのコードやインフラを使用した可能性もある」と解析レポートは述べている。

「MobiSummerとCopyCatの一つ目の接点は、マルウェアとMobiSummer の一部の活動を運用するサーバーだ。さらに、マルウェアのコードの一部はMobiSummerそのものによって署名されており、マルウェアが使用するリモートサービスの一部は同社が作成したものである。またCopyCatは中国のデバイスを狙うのを避けており、これはマルウェアの開発者が中国人で、地元の法執行機関による捜査を完全に回避したがっていることを示唆している。これはマルウェア界では一般的な戦略である」

Check PointはGoogleに調査結果を報告している。
 
翻訳:編集部
原文:CopyCat Android malware infected 14 Million devices and rooted 8 Million

※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…