logo

「Bouncer」を欺き「Google Play」にマルウェア--研究者が明かす偽装手法

Elinor Mills (CNET News) 翻訳校正: 川村インターナショナル2012年07月26日 07時30分
  • このエントリーをはてなブックマークに追加

 「Android」アプリを対象とするGoogleのマルウェア検出システム「Bouncer」をテストしているセキュリティ研究者たちは、害のないアプリを提出した後、それを段階的にアップデートしていく過程で、悪意のある機能を追加することに成功した。研究者の1人が米国時間7月20日、米CNETに明らかにした。

 TrustwaveのSpiderLabsを率いるNicholas Percoco氏と、同氏の同僚であるSean Schulte氏は来週、ラスベガスで開催されるBlack HatおよびDefconカンファレンスで「Adventures in Bouncerland」と題されるセッションを行い、この研究について語る予定だ。

 TrustwaveのSpiderLabsを率いるNicholas Percoco氏は、合法的なAndroidアプリを、マルウェア検出システムに発見されることなくマルウェアに変えることに成功した。
TrustwaveのSpiderLabsを率いるNicholas Percoco氏は、合法的なAndroidアプリを、マルウェア検出システムに発見されることなくマルウェアに変えることに成功した。
提供:Trustwave SpiderLabs

 Googleが2月にAndroidマーケット「Google Play」のアプリを保護するBouncerシステムを発表した後、研究者たちは、同システムに既に登録されている無害なアプリを、Bouncerマルウェア警告システムに検出されることなく、悪質なものに変えることが可能かどうかを確かめることにした。そして彼らは成功した。

 彼らはまず、特定の人からのテキストメッセージをブロックできるアプリであるSMSブロッカーを作成した。同アプリがGoogle Playに掲載されて、一般の人々がダウンロードできるようになると、研究者たちは11回のアップデートを重ね、テキストメッセージのブロックとは全く関係のない機能を追加した。Percoco氏によると、Bouncerはそれらのアップデートを1つも検出しなかったという。機能の変更をBouncerから隠すための偽装手段が用いられたためだ。「われわれは、Bouncerに目隠しの布をかぶせるテクニックを使った」(同氏)。

 したがって、このアプリ(彼らは来週になるまでアプリ名を明かそうとしない)は純粋なSMSブロッカーとして公開され、その後の度重なるアップデートによって、デバイス上のあらゆるデータにアクセスできる機能を持ち、さらには携帯電話を分散型サービス拒否(DDoS)攻撃のゾンビマシンに変えてしまう機能までも備えるようになった。

 「われわれがGoogle Playで公開した最後のバージョンでは、エンドユーザーのすべての写真や連絡先、通話記録、SMSメッセージを盗むことが可能だった。また、われわれはユーザーのデバイスを乗っ取ることができる」、そして悪意のあるウェブサイトにデバイスを誘導することもできる、とPercoco氏は述べた。「われわれは最後に述べた機能を利用して、モバイルデバイスのロケーションを定義し、標的に対してDDoS攻撃を仕掛けることが可能だった」(同氏)。

-PR-企画特集