悪意のある Android アプリケーションは、Google Play ストアのセキュリティ チェックを回避し、感染したデバイスを分散型サービス拒否攻撃、広告詐欺、スパム ボットネットに利用します。
これらのアプリは、Google Play 以外の一部のストアで、激しい競争が繰り広げられる無料ゲームのトップ チャートにランクインしたことがある、正規のゲームです。
チェックポイントのマルウェア開発者、アンドレイ・ポルコフニチェンコ氏とオーレン・コリアット氏は、主たる攻撃ゲーム「バイキングジャンプ」にちなんで「バイキングホード」と名付けたマルウェアファミリーは、感染した携帯電話の機能に応じて変化すると述べている。
「おそらく最も危険な機能は、デバイス上のあらゆるリモートコードのダウンロードと実行を可能にするアップデートメカニズムだ」と2人は言う。
「攻撃者によって作成されたボットネットは、標的となったさまざまな国のユーザーに世界中に拡散しました。」
一連の許可の要求により、ユーザーの疑念を招き、Google Play ストアでのランキングが低下しました。
これらのアプリは、ルート化されたデバイス上で管理者権限とルート権限を要求します。これを許可すると、マルウェアが永続化され、削除が困難になります。
ゲームの起動中に、悪意のあるコンポーネントが(ゲーム内部またはSDカード上に)インストールされます。そこからコマンド&コントロールサーバーへのリンクが確立され、感染したスマートフォンに関する情報が送信され、攻撃者はコマンドを返すことができます。
攻撃フロー。信用チェックポイント。
ほとんどの携帯電話は、攻撃者に収益をもたらす不正な広告クリックに使用されています。
最新の Marshmallow または Lollipop Android オペレーティング システムを実行しているデバイスでは、アプリに一連の個別の権限を付与する必要があり、侵害がさらに困難になります。
ルート化された携帯電話のユーザーは、マルウェアに明示的なルート権限を付与する必要もあるが、これは無害なゲームでは非常に珍しい要求である。
最も普及しているAndroidバージョンであるLollipopが35%で稼働しているのに対し、古いAndroid Kitkatデバイスは全デバイスの32%で稼働しており、ユーザーの承認が軽率になりがちな権限システムが脆弱なため、セキュリティ侵害を受けやすい状況がはるかに高まっている。
これは、感染の44%がロシアで確認されているこのマルウェアの成功をある程度説明できるかもしれない。統計によると、ロシアではほとんどのデバイスにAndroidが搭載されているが、Androidのバージョン単体ではAppleのiOSバージョン9.2ほど普及していない。®
