Google Playの人気ランクトップの無料ゲームアプリに仕込まれたマルウェア「Viking Horde」がボットネットを形成

セキュリティ対策企業のCheck Pointが、Android端末で流行する巨大なボットネットを構築するマルウェア「Viking Horde」の存在を明らかにしています。Check PointによるとViking Hordeは、5万から10万台のAndroidスマートフォンに影響を与えている可能性があるとのことです。

Viking Horde: A New Type of Android Malware on Google Play | Check Point Blog
http://blog.checkpoint.com/2016/05/09/viking-horde-a-new-type-of-android-malware-on-google-play/

Viking Horde Infects Phones Via Google Play: Check Point | Stock News & Stock Market Analysis - IBD
http://www.investors.com/news/technology/viking-horde-malware-zombifies-phones-on-google-play-check-point/

Check Pointは、感染すると巨大なボットネットを構築する新型のマルウェア「Viking Horde」を発見しました。ボットネットはマルウェアに感染した端末同士が構築するネットワークで、ボットネットに組み込まれることで知らないうちにサイバー犯罪者によって端末を支配され、サイバー攻撃に加担する危険性があるものです。Viking Hordeのボットネットは、主に広告クリックを偽装して不当な収益を上げるために利用されているとのこと。

Viking Hordeの感染経路はすでに特定されています。最大の感染源となったのは、2016年4月15日にGoogle Playストアにアップロードされたゲームアプリ「Viking Jump」だとのこと。このアプリは無料アプリとして1番人気になることがあったなど作り込まれたゲームで、すでに5万～10万回ダウンロードされたことが分かっています。

その他にもViking Hordeを媒介したアプリが判明しており、最も古いWiFi Plusというアプリは2016年3月29日に公開されていました。このWiFi Plusはルート権限を要求することから、不審に思うユーザーもいたそうです。

Viking Hordeの感染源となるアプリを起動すると、アプリケーションディレクトリーの外に「core.bin」「android.bin」などのマルウェア間でデータをやりとりするのに利用するコンポーネントをインストールします。次に、Viking Hordeは端末がルート化されているかをチェックして、ルート化されている場合はサーバーとの通信プロトコルを整えたりプロセスを監視するコンポーネントを追加したりします。その後、コマンド＆コントロールサーバー(C＆Cサーバー)とTCP接続を確立して通信を開始。さらに匿名性を保つプロキシ接続を確立するとのこと。

Check Pointの研究者は、ボットネットを操る攻撃者の管理するC＆Cサーバーから得たデータをもとに、Viking Hordeによる被害者の分布を調査しています。最も多くの被害者がいるのはロシアで全体の44％、次いで12％のスペイン、10％のレバノン、8％のアメリカなどが続きます。

なお、アプリレビューにはViking Hordeが「マルウェアを消去して欲しければ4.5ポンド(約700円)支払え」というSMSを送ってきたという報告もあるとのこと。Check Pointは、Viking HordeがDDoS攻撃やスパム配信などさまざまな攻撃に利用される可能性を指摘しています。

Check Pointによると、Viking Hordeはアンインストールされてもユーザーが気づかないうちに再インストールする仕組みや、更新プログラムをダウンロードして任意のプログラムをインストールする機能があるとのこと。Check Pointの研究者のジェフ・ザクート氏は、「攻撃者はViking Hordeに感染した端末のカメラやマイクをONにしたり、端末から情報を盗み出したりできます。ルート端末がViking Hordeに感染した場合、ハードウェアをリセットするか、さもなければ新しいスマートフォンに買い換えるべきです」と述べています。