新たに発見された Android マルウェアの一種は、感染したデバイスの周囲の環境音をライブ録音します。
RedDropは、感染したキットからファイル、写真、連絡先、アプリケーションデータ、設定ファイル、Wi-Fi情報も収集し、アップロードします。攻撃者はDropboxとGoogle Driveの両方を一時ストレージとして利用しています。
感染したデバイスは、高額なSMSメッセージをプレミアムサービスに送信し、その過程で犯罪者に利益をもたらします。このマルウェアに関連する感染はセキュリティ企業によって数百件確認されており、最も深刻な影響を受けているのは中国のユーザーです。
エンタープライズ向けモバイルセキュリティ企業Wanderaは、米国に拠点を置く「Big Four」コンサルティング会社の従業員がモバイルウェブブラウザで中国の検索エンジンBaiduに表示されたリンクをクリックした際に、このマルウェアを発見しました。その後、ユーザーはアダルトコンテンツを表示するサイトに誘導され、不審なサイトとして検出され、ブロックされました。
さらなる調査の結果、Wanderaは、マルウェアのフロントエンドとして動作する一見無害なアプリが53種類以上存在すること、そしてエンドユーザーのデバイスへのリーチを最大化するために利用されている3,000以上のホスティング拠点からなる複雑な配布ネットワークを発見しました。「複数の配布URL、APKをホストするために使用されている個別のウェブプロパティ、そして追加機能の無数のバージョンはすべて、攻撃者がマルウェアが古くなってシグネチャベースのブロックの対象にならないようにするための試みを示していると考えています」とWanderaは述べています。
ワンデラによると、ビジネスツールからゲームに至るまで、様々なアプリがマルウェアに感染しているという。中国の検索大手百度(Baidu.com)とSky MobiのAndroidアプリストアも、このマルウェアの拡散に悪用されている。
RedDrop Androidマルウェア感染サイクル [出典: Wandera]
この脅威は、Wanderaがこれまでに確認したAndroidマルウェアの中でも最も高度な例の一つです。「ダウンロードサイトやリファラーからC&Cサーバー、データ窃取に至るまで、このマルウェアを作成した攻撃者は綿密に計画していた」と同社は結論づけています。「デバイス自体においても、このマルウェアはシステムの変更やアップデート後も持続し、回復力を発揮するように設計されていた。」
カスペルスキー研究所のセキュリティ専門家らは、この脅威をそれほど懸念していない。彼らは、この脅威は主にわいせつなコンテンツを探す中国のスマートフォンユーザーにとっての問題だと考えている。
「カスペルスキー研究所は2017年9月からこの脅威を認識しています」と、セキュリティ研究スタッフのビクター・チェビシェフ氏は述べています。「RedDropは、被害者をスパイする機能(メモリカードや連絡先リストなどの被害者のデバイスに関するデータを収集する機能)を持つマルウェアであり、デバイスにこっそりと有料サブスクリプションを購入させることで、ユーザーに金銭的なリスクをもたらす可能性があります。」
世界中で数百件のRedDropが検出されており、そのほとんどが中国のユーザーによるものです。このマルウェアは、アダルトアプリに偽装したサードパーティプラットフォームを介して拡散しています。カスペルスキー製品は、2017年9月からRedDropを検知・ブロックしています。®
