中国の広告会社が、おそらく数十万台の Android 端末を感染させ、「完全に」乗っ取った。この攻撃は非常に不注意なもので、世界中のボットネットが簡単に乗っ取られる危険性があり、端末があらゆるマルウェアによって完全に侵害される可能性がある。
FireEye(またしてもこの人たちは寝る必要がある)の研究者Yulong Zhang、Zhaofeng Chen、Yong Kangは、攻撃の背後にはアプリ広告業界の大手企業として売り出している中国のマーケティング会社Xinyinheがいると述べている。
感染したデバイスの数は明らかにしていないが、Xinyinheは50カ国に「顧客」を持ち、2013年に約2000万ドルのシード資金を調達した後、11月時点で評価額が1億ドルになったと主張している。
FireEyeは感染した被害者の数について問い合わせを受けた。
3人によると、この攻撃は、Gingerbread(2.3.4)から最新の安定版Lollipop(5.1.1)ビルドまで、Androidオペレーティングシステムのほぼすべてのバージョンが稼働している約308種類の端末でルートアクセスを取得するマルウェアを顧客を騙してインストールさせることで、顧客ネットワークを構築するという。
これらの被害者は、「非常に大規模な」世界規模のボットネットに奴隷化されており、信じられないことに、そのボットネットはコマンドと制御の通信にプレーンテキストを使用しており、「誰でも」それを乗っ取ることができます。
感染プロセス
感染すると、マルウェアはユーザーの同意なしに、合法だが罠を仕掛けられたアプリケーションをインストールし、インストールと許可の警告プロンプトを自動的にクリックします。
バックドアをインストールしてデバイス上に永続性を維持し、サードパーティのマルウェアによる侵害に対して攻撃ベクトルを開きます。
Xinyinheは自社サイトとマルウェアにリンクされていた別のサイトを削除したため、コメントを得られていません。ウェブアーカイブは記事公開時点ではアクセスできませんでした。
「これは世界中に拡散している、脅威の高い悪質なアドウェアファミリーであり、中国の組織によって制御されている可能性が高い」と研究者らは述べている。
悪意のあるアドウェアのワークフローの概要。
「影響を受けたユーザーは、一部のオンライン サービスのユーザー認証情報を誤って漏洩した可能性があります。iTunes、オンライン バンキング、電子メール、仕事用アカウントなどのオンライン サービスのパスワードを変更する必要があります。」
3人は、攻撃者が非常に不注意であるため、携帯電話の「フルコントロール」ルートアクセスを持つ感染したアプリにより、マルウェアが誰でもその特権アクセスを共有できるようになると述べている。
これは、それほど有害ではないマルウェアの作成者が感染を利用してルート権限を取得し、デバイスを乗っ取り、「永久的な損害」を与える可能性があることを意味します。
これまでに、人気のAmazon、Memory Booster、Clean Masterなど約300個の感染したアプリが発見されています。
世界感染マップ
このアドウェアは、システム レベルのサービスをインストールしたり、新しいオペレーティング システム ROM をフラッシュするために使用されるブート回復スクリプトを変更するなど、永続化と難読化のために「斬新な」印象的な手法を使用します。
チャン氏、チェン氏、カン氏は、攻撃者が人気のアプリを、継続的に更新される悪意のあるロジックを使って再パッケージ化していると述べている。
最新のサンプルでは、より強力な難読化および圧縮メカニズムが採用されています。
追加の技術情報は、FireEye の分析で入手できます。®
