人気の Android アプリである「バーコード スキャナー」のアップデートに、12 月初旬に望ましくないコードが紛れ込んでいた。このアップデートは 1,000 万台以上のデバイスに届く可能性があったが、実際の配布数はそれよりはるかに少ないと考えられている。
数週間後、GoogleはGoogle Playからこのアプリを削除しました。このアプリをダウンロードしてアップデートに同意したユーザーのモバイル端末には、問題のあるコードがまだ残っている可能性があります。このコードは、ブラウザを勝手に起動し、ウェブサイトにアクセスしているように見えます。
ロンドンに拠点を置くLavaBird社が配布するバーコードスキャナーは、2020年12月4日にアップデートを受け、問題のコードが組み込まれたようだと、Malwarebytesのセキュリティ研究者ネイサン・コリアー氏は述べている。現在削除されているLavaBirdのAndroidアプリは、Playストアに残っているZXing Teamのバーコードスキャナーとは混同しないよう注意が必要だ。
LavaBird社はコメント要請にすぐには応じなかった。
コリアー氏はブログ投稿で、これはアプリ内のサードパーティ製SDKがおかしくなったのではなく、意図的な変更だったと述べた。「さらに、追加されたコードは検出を回避するために高度な難読化が施されていました」と彼は指摘した。
コリアー氏はまた、コードの既知のクリーンバージョンのコード署名証明書が、改変されたバージョンと一致していることにも言及した。
おっと:Googleは、位置情報販売のX-Mode SDKを搭載したすべてのAndroidアプリをPlayストアから削除できなかったことを認めた
続きを読む
アップデートが公開されてから約3週間後、ユーザーからの苦情がバーコードスキャナーに注目を集めるようになり、Malwarebytesはこれをブロックし始めました。このソフトウェアは、ユーザーのブラウザを開き、不要なウェブサイトにリダイレクトし、さらにソフトウェアのインストールを促すもので、「Android/Trojan.HiddenAds.AdQR」と名付けられています。
The RegisterはGoogleに対し、バーコードスキャナをいつ削除したか、またAndroidユーザーのデバイスから改ざんされたバーコードスキャナを削除する措置を講じたか、あるいは今後講じる予定があるかを確認するよう求めた。Googleのアプリ防御メカニズムであるGoogle Play Protectは、アプリに関する通知の発行、無効化、自動削除の機能を備えている。Googleからの回答はまだ得られていない。
コリアー氏はマルウェアバイツの広報担当者を通じ、ウイルス対策ソフト会社はGoogleがいつアプリを削除したかは確認できないが、2020年12月24日に同氏がマルウェアバイツのフォーラムに投稿した後だと述べた。同氏は、実際にアップデートをインストールした人数は不明だと述べ、Google Play ProtectはAndroidデバイスからアプリを削除していないと付け加えた。
バーコードスキャンアプリの切り替えは人気のようです。昨年6月、セキュリティ企業のトレンドマイクロは、Google Playでアドウェアを仕込んだバーコード読み取りアプリ2本を発見し、合計200万回ダウンロードされたと報告しました。また、同様のアドウェアの挙動を示すアプリが他に51本特定されています。®
追加更新
この記事が提出された後、LavaBird は当社に書簡を送り、同社が Barcode Scanner をサードパーティに販売し、アプリがまだ LavaBird の Google Play アカウントに関連付けられていた間に購入者が悪意のあるコードを追加したと述べました。
「当社のアカウントから公開したアップデートは、購入者がアプリのキーとパスワードを確認するために行ったものです」と同社は述べています。「購入者は当該アプリのGoogle Playコンソールへのアクセス権を付与され、自らアップデートを行いました。その後1週間後、12月7日にアプリを購入者のGoogle Playアカウントに転送しました。」
その後、MalwareBytes は、LavaBird に責任はなく、悪意のある第三者が人気アプリを乗っ取るソーシャルエンジニアリング攻撃の被害者であると結論付けました。
「結局のところ、私はLavaBirdの主張を信じている」とコリアーはフォローアップの投稿で書いた。
残念ながら、LavaBirdは、この悪質なバーコードスキャナーに関するブログ記事を公開したことで、私たちの標的となりました。証拠が示す通り、私たちの行動は正しかったのです。しかしながら、今となっては全容が明らかになったため、このような事態に至ったことをお詫び申し上げます。LavaBirdの名誉を回復することを願って、この手紙を書いています。
