不正アプリのインストールをユーザーが拒んでも無理矢理インストールする極悪マルウェアが登場

By frankieleon

すでに発見されていた削除不能なマルウェア「Shuanet」「Kemoge(ShiftyBug)」「Shedun」に、不正なアプリを自動でインストールする機能があり、たとえ不正アプリのインストールをユーザーが拒んでも、勝手にインストール作業を敢行できるという恐るべき能力があることが分かりました。なお、この極悪マルウェアはセキュリティ専門家から「感染したら最後、スマートフォンを買い換えるのが賢明」と評価されています。

Trojanized adware family abuses accessibility service to install whatever apps it wants | Lookout Blog
https://blog.lookout.com/blog/2015/11/19/shedun-trojanized-adware/

This Android malware is so bad, you might be better off buying a new phone
http://mashable.com/2015/11/06/android-malware-auto-rooting/#oGNBzkwxXGqk

これまでにも銀行の口座番号を盗み出すマルウェア「データを返して欲しければ金をよこせ」と脅迫するランサムウェアなど数多く凶悪なマルウェアが登場してきましたが、マルウェア自体は駆除可能なものでした。しかし、セキュリティ対策会社Lookoutが発見した「Shedun」「Shuanet」「ShiftyBug」という3種類のマルウェアは、端末をファクトリーリセットしても駆除できないことが分かりました。

ルート奪取&削除不能のAndroid向け極悪アドウェアがTwitterやFacebookの偽アプリを介して感染拡大 - GIGAZINE


これらのマルウェアは一度端末に感染すると、ルート権限を取得して自身をシステムレベルのサービスとして埋め込むとのこと。その後、FacebookやTwitter、WatsAppなどの人気アプリ内に侵入しますが、仮にそれらのアプリをアンインストールして再インストールしたとしても、マルウェアは機能の大部分が無傷のままであるそうです。

これらの極悪マルウェアはユーザーに無断でアドウェアをインストールしてポップアップ広告を表示させたり、他のマルウェアを無断でインストールしたりできる機能を備えています。また、極悪マルウェアはシステムレベルに不正にアクセスできることから、セキュリティ・プライバシーの両面で危険性があると指摘されていました。

そして、このマルウェアには、ユーザーがアプリのインストールを拒否しても、勝手にインストールを実行してしまう能力を持つことが判明。以下のムービーでは、マルウェアShedunに感染した端末では、不正アプリのインストーラーをユーザーが閉じても、自動的にインストール作業が行われる様子が映し出されています。

Shedun taking advantage of accessibility service - YouTube


「DollarMobi」というアプリのインストール画面。インストールする場合は画面下の「Install Now」をタップすることになります。


インストールしないことに決めたユーザーが、画面の「×」をタップしてインストーラー画面を消去したところ……


なぜか「Start to download apps(DollarMobi)」という表示。


ダウンロードが完了して、アプリのインストール画面が現れました。もちろんユーザーは操作をしていません。


「カリカリ」という不気味な音をたてながら、画面の承諾文を下方向にスクロールさせて、インストールの可否を問うところまでやってきました。「Cancel」を押せばインストール作業は中止、「Install」を押せばインストール敢行という状況。


ユーザーに「Cancel」を選ぶ時間も与えずに、インストール開始。


インストール完了。


「DollarMobi」アプリが起動しました。


これらの極悪マルウェアはGoogle Playストアではないサードパーティ製のアプリストアを通じて広まっていて、すでに2万個を超えるアプリに潜んでいることが確認されています。Lookoutによると感染例は、アメリカ、ドイツ、イラン、ロシア、インド、ジャマイカ、スーダン、ブラジル、メキシコ、インドネシアで見つかっているとのこと。Androidスマートフォンユーザーは、サードパーティのアプリストアを避け、Google Playストアのみ使用するのが最善の予防作である、とLookoutは結論づけています。

・関連記事
ロック画面に入力するPINコードを変更してスマホを人質に約6万円を要求するランサムウェアが感染拡大中 - GIGAZINE

ゲームのデータを人質に身代金を要求するマルウェアが発見される - GIGAZINE

過去最大20万台以上の脱獄済みiOS端末がマルウェアに感染、アカウント情報が流出したと判明 - GIGAZINE

iPhoneやiPadにインストールしたアプリをマルウェアに置き換え情報を抜き取る攻撃「Masque Attack」が登場 - GIGAZINE

ユーザーによる消去不能なスマホのターゲティング広告用ゾンビクッキーの利用が停止される模様 - GIGAZINE

スマホにマルウェアを感染させ個人の行動を監視する政府向けのサービス「Galileo」の存在が明らかに - GIGAZINE

マルウェアの次の狙いはパスワードマネージャー、IBMの考える解決策とは - GIGAZINE

291

in モバイル,   ソフトウェア,   動画, Posted by logv_to