正規のGoogle Playから200万人が感染したマルウェア「FalseGuide」、現在進行形で被害が発生中

「ポケモンGO(Pokémon GO)」などの人気のアプリの攻略法を解説するガイドアプリの中に、不正な広告表示をしたり端末を乗っ取ったりできるマルウェア「FalseGuide」が仕込まれていたことが明らかになりました。このFalseGuideが仕込まれたマルウェア入りアプリは、正規のGoogle Playストアからダウンロードされたもので、被害者は200万人に上るとみられています。

FalseGuide misleads users on GooglePlay | Check Point Blog
http://blog.checkpoint.com/2017/04/24/falaseguide-misleads-users-googleplay/

Beware! New Android Malware Infected 2 Million Google Play Store Users
http://thehackernews.com/2017/04/android-malware-playstore.html

セキュリティ対策企業のCheck Pointの研究者が、Google Playストアに登録された40種類以上のガイドアプリの中にマルウェア「FalseGuide」が仕込まれていることを発見しました。2017年2月に60万台の端末にダウンロードされたとみられていたFalseGuide入りアプリですが、Check Pointのその後の調査によって、最も古いものは2016年11月にGoogle Playストアに登録されたもので、2017年4月までの約5カ月間も悪事を見抜かれることなくダウンロードされる状態で登録されており、200万人以上の人が被害に遭ったことが判明しました。

FalseGuideが含まれたアプリは、インストール時に管理者権限を求めこれに同意するとアプリをユーザーが削除できないようにします。その後、マルウェアはアプリ開発者がメッセージを送信するためのクロスプラットフォームサービス「Firebase Cloud Messaging」に端末を登録。攻撃者が端末にリンク付きメッセージを送信してインストールし、不正なポップアップ広告を表示して、広告収入を得るという仕組みです。

現時点で見つかっている被害は不正なポップアップ広告の表示にとどまっていますが、FalseGuideは技術的には感染した端末でボットネットを組んだり、端末を完全に乗っ取ったり、プライベートネットワークに侵入したりすることが可能だとCheck Pointは警告しています。

Check Pointによると、FalseGuideが含まれた最初のアプリはSergei VernikとNikolai Zalupkinというロシア人の名前で登録されたものだとのこと。これまでに分かっているFalseGuide入りのアプリの多くはロシア語タイトルのアプリですが、中には「Guide or FIFA Mobile」「Guide for LEGO City My City」「Guide for Pokemon GO」「Guide For FIFA 17」などの英語タイトルもあり、「Guide for Shadow fight 3 and 2」のように最大で50万回もダウンロードされた人気のガイドアプリもあるそうです。

Check Pointは2017年2月の時点でFalseGuideについてGoogleに通知しており、通知後すみやかに対象アプリはGoogle Playストアから削除されたとのこと。しかし、アプリはGoogle Playストアから削除された後もなお、ユーザーの端末でアクティブ状態のアプリもあり、被害は現在も継続していると考えられています。

Check PointはFalseGuideがガイドアプリを対象にしてマルウェアを仕込んだ理由を「アプリに人気があるから」と推測しています。また、ゲームなどの大手アプリメーカーのアプリと違い、ガイドアプリは小規模なベロッパーでも開発が可能なため玉石混淆でもあり、ユーザーがアプリの選択を間違えやすいという側面もあるかもしれません。いずれにせよ、正規のGoogle Playストアでもマルウェア入りアプリが混入していたという事実から、アプリのダウンロード・インストール時には、そのアプリが信頼できるものなのかを事前に検索などで調べてからインストールするなど、ユーザー側で対応が求められそうです。