非公式ストアからのアプリのダウンロードはやめてください。Androidユーザーが「駆除不可能なマルウェア」に感染

ロシアのマトリョーシカ人形に例えられる Android マルウェアパッケージは、削除するのがほぼ不可能であるため、セキュリティ研究者から警鐘が鳴らされている。

xHelperとして知られるこのマルウェアは、過去1年間、主にロシア、ヨーロッパ、南西アジアでAndroid 6および7搭載デバイス（古くて時代遅れではあるものの、現在のユーザーベースの約15%を占めています）を標的に、非公式アプリストアから拡散しています。デバイスに侵入するとバックドアが開き、悪意のあるユーザーが所有者をスパイしたり、データを盗んだり、悪意のある行為を行ったりできるようになります。

このマルウェアはつい最近になってカスペルスキー研究所の研究者らによって解明されたが、研究者らによると、このマルウェアが特に危険なのは、感染したタブレットや携帯電話の複数の層で動作する点だという。

「xHelperの最大の特徴は、その定着性です」とイゴール・ゴロビン氏は火曜日に説明した。「一度スマートフォンに侵入すると、ユーザーが削除して工場出荷時の設定に戻しても、どういうわけかそこに残ってしまうのです。」

正規のデバイス「クリーニング」アプリを装ってマルウェアがダウンロードされると、その手口は実にシンプルに見えます。インターネットから「ドロッパー」型のトロイの木馬をダウンロードし、デバイス情報を収集して別のトロイの木馬をダウンロード・実行します。このトロイの木馬は、エクスプロイトコードをダウンロードします。このコードが実行されると、マルウェアはデバイスのルート権限を取得します。このエクスプロイトコードは、中国製のAndroid 6および7デバイスに蔓延していると思われるセキュリティ上の脆弱性を狙っています。

ちなみに、これらのマルウェアのダウンロードはそれぞれ、セキュリティツールから遠く離れた場所に隠された一連のフォルダー内にネストされているため、見つけるのが困難になっています。

アンドロイド

10億台以上のAndroidデバイスがセキュリティアップデートを受けられなくなり、完全に脆弱になっているという調査結果が出た。

「悪意のあるファイルは、他のプログラムがアクセスできないアプリのデータフォルダに順番に保存されます」とゴロビン氏は説明する。「このマトリョーシカのような仕組みにより、マルウェア作成者は痕跡を隠蔽し、セキュリティソリューションに既知の悪意のあるモジュールを使用することができます。」

強力なルート権限を駆使したマルウェアは、通常は行われない書き込みアクセスを有効にしてオペレーティングシステムのパーティションをマウントし、そこに不正なソフトウェアが自身をコピーできるようにします。マルウェアは、システムの共有ライブラリlibcのコアライブラリにあるmount()関数のコードを変更し、ユーザーやアプリが将来的に同様の操作を行って悪意のあるプログラムを削除できないようにします。こうしてマルウェア自身と被害者はロックアウトされ、マルウェアは侵入できなくなります。

つまり、システムの起動ごとに実行され、デバイスが工場出荷時の状態にリセットされた場合はシステムパーティションから再インストールされるようになります。

さらに悪いことに、このマルウェアはさらに多くの悪質なプログラムをダウンロード・インストールし、システムの様々な部分を削除します。当然のことながら、ゴロビン氏によると、これにより感染を完全に除去することはほぼ不可能になります。

「xHelperを削除するだけでは、システムを完全に駆除することはできません」と、ある専門家は言った。「システムパーティションにインストールされたcom.diag.patches.vm8uというプログラムは、xHelperやその他のマルウェアを機会があればすぐに再インストールしてしまうのです。」

このマルウェアに遭遇した場合は、Android リカバリモードで破壊された libc を復元し、システムパーティションを書き込みモードで再マウントして、マルウェアを自分で削除することができます。

しかし、最善策は工場出荷時設定へのリセットよりも一歩進んで、システムパーティションを含むフラッシュメモリを完全に消去し、新しいクリーンなコピーを挿入することです。「Androidスマートフォンにリカバリモードが設定されている場合は、システムパーティションからすべてのマルウェアを削除する前に、元のファームウェアからlibc.soファイルを抽出し、感染したファイルをそれに置き換えることができます。しかし、スマートフォンを完全にフラッシュし直す方が簡単で確実です。」とゴロビン氏は述べています。

さらに良いアドバイスとしては、安全のために Google Play ストアから疑わしいアプリをダウンロードしないようにし、許可されていないサードパーティのストアは絶対に使用しないことです。®

非公式ストアからのアプリのダウンロードはやめてください。Androidユーザーが「駆除不可能なマルウェア」に感染

Table of Contents

10億台以上のAndroidデバイスがセキュリティアップデートを受けられなくなり、完全に脆弱になっているという調査結果が出た。

Discover More

Windows 版 Microsoft Office 2016: Clippy の精神は今も生き続ける

トランプ大統領はH-1Bビザやその他の就労ビザの凍結を延長し、バイデン政権にも反移民政策を押し進めている。

広告ブロッカー使ってる？ニュースにアクセスするにはモネロをマイニングしろと米国サイトが主張

Table of Contents

10億台以上のAndroidデバイスがセキュリティアップデートを受けられなくなり、完全に脆弱になっているという調査結果が出た。

Smart Recommendations

Discover More