ルート奪取＆削除不能のAndroid向け極悪アドウェアがTwitterやFacebookの偽アプリを介して感染拡大

By s3aphotography

TwitterやFacebook、Google Nowなどの人気アプリを装った新型のアドウェアが発見されました。発見されたアドウェアは、システムアプリケーションとしてインストールされ端末のルート権限を自動で奪取し削除不能になるというもので、このアドウェアを含む偽アプリが2万本以上発見されています。

Lookout discovers new trojanized adware; 20K popular apps caught in the crossfire | Lookout Blog
https://blog.lookout.com/blog/2015/11/04/trojanized-adware/

アドウェアを発見したセキュリティ企業のLookoutによれば、このアドウェアは人気アプリをリパッケージしてコードが組み込まれ、あたかも公式アプリと関係があるもののように装い配布されているとのこと。例えば、企業のクラウドアプリケーションを管理するサービス「Okta」の2段階認証ログインアプリとして配布されているものに、アドウェアが混入されているといった具合です。

今回発見されたのは自動でルート権限を奪うという特殊なタイプであり、インストールしてしまうと端末内のデータにアクセスされたり、マルウェアをインストールされたりする可能性があります。また、システムアプリケーションとしてインストールされるため、一度でもインストールすると削除が不可能になっているのも注意すべきところです。

LookoutはTwitter・Facebook・Candy Crush・Snapchat・Google Nowなどの公式アプリを装ったアドウェア入りのアプリをアメリカ・ドイツ・イラン・ロシア・インド・ジャマイカ・スーダン・ブラジル・メキシコ・インドネシアで2万本以上発見。アドウェアはサードパーティ製のアプリストアで配信されているとのことなので、Google Play以外の非正規アプリストアからアプリをインストールしている人は注意が必要です。

Lookoutは、同社が過去に発見したルート権限を自動で取得する「Shuanet」「Kemoge」「Shedun」という3つのアドウェアが、今回発見された2万本以上のアプリのコードと約71～82％で一致するため、作成者が同一であるかどうかはわからないものの、何らかの関係性があると見て調査を進めています。

なお、アドウェアはバックグラウンドで動作するため、一般ユーザーが感染したことに気づくのは困難。もし感染してしまった場合は、セキュリティに詳しい専門家に見せるか、新しい端末に買い換えることを考慮すべきです。

・つづき
不正アプリのインストールをユーザーが拒んでも無理矢理インストールする極悪マルウェアが登場 - GIGAZINE