ウイルス作成者が再びチョコレートファクトリーのコードチェックシステムを欺くことに成功したことを研究者らが発見したため、GoogleはPlayストアからマルウェアを仕込んだアプリ50本を削除せざるを得なくなった。
このマルウェアは、Lovely Wallpaperアプリで発見されたため、Check Pointのセキュリティ研究者によってExpensiveWallと名付けられました。このマルウェアは、被害者を有料オンラインサービスに登録させ、ユーザーの携帯電話から有料SMSメッセージを送信して料金を支払わせるペイロードを搭載しています。Playストアの50個のアプリで発見され、100万~420万人のユーザーにダウンロードされました。
このマルウェアは、研究者が1月にPlayストアで初めて発見した亜種だが、決定的な違いが一つある。今回は作成者がマルウェアを暗号化・圧縮していたため、Googleの自動チェックプロセスでは検出できなかったのだ。
ダウンロードされると、マルウェアはインターネットへのアクセスとSMSメッセージの送受信の許可を求めます。その後、感染した端末の位置情報やMACアドレス、IPアドレス、IMSI番号、IMEI番号などの固有識別子を含む情報を、コマンド&コントロールサーバーに送信します。
サーバーはマルウェアにURLを送信し、マルウェアは埋め込まれたWebViewウィンドウでそれを開きます。そして、攻撃用のJavaScriptコードをダウンロードし、被害者に請求金額を請求し始めます。研究者たちは、このマルウェアはGTKと呼ばれるソフトウェア開発キットから来たと考えています。
「Check Pointは2017年8月7日にExpensiveWallについてGoogleに通知し、Googleは報告されたサンプルを速やかにストアから削除しました」と研究者らは指摘している。「しかし、影響を受けたアプリが削除された後も、数日のうちに別のサンプルがGoogle Playに侵入し、4日後に削除されるまでに5,000台以上のデバイスに感染しました。」
Googleのコメントスキャンはバウンサーと同じくらいひどい
Googleはマルウェア感染に関する警告を見逃していたようです。感染したアプリのうち少なくとも1つのユーザーコメント欄には、悪意のあるペイロードが含まれていると指摘する怒りの声が溢れており、これらのアプリはInstagramで宣伝されていたようです。
Google Playストアをマルウェアが感染する事例が、憂慮すべきほど頻発しています。先月だけでも、バンキング型マルウェアとボットネットコントローラーが、7月には商用スパイウェアが、5月には広告スパムコードが出現しました(3月と4月にも同様の事例がありました)。そして1月にはランサムウェアの感染が急増しました。
対照的に、AppleのApp Storeはコードチェックをはるかに厳格に行っているようで、クパチーノのアプリ市場ではマルウェアは稀だ。一部の開発者はAppleによるコード承認に時間がかかることに不満を抱いているものの、少なくともAppleは徹底した作業で顧客を守っている。ただし、Appleの市場シェアが低いため、マルウェア作成者はアプリ開発にiOSを使わない傾向がある。
対照的に、Googleの自動コードチェックソフトウェア「Bouncer」は、非常に簡単に騙されやすいようです。多くのサードパーティマーケットプレイスには怪しいアプリが溢れているため、GoogleはユーザーにGoogleストアからのみアプリをダウンロードするよう推奨していましたが、このアドバイスはますます信憑性を失いつつあります。
これを是正するには、チョコレート工場で何かを変えなければならないのは明らかです。Androidの現在の市場シェアを考えると、深刻な被害をもたらすマルウェアの大規模な発生は大混乱を引き起こし、90年代や2000年代のWindowsのように、このOSの評判とマルウェアが永久に結びつく可能性があります。®
