Google Playストアのアプリに紛れてマルウェアを仕込むアプリ20種の存在が発覚、2016年に荒稼ぎしたマルウェア「HummingBad」の再来

By portal gda

セキュリティ関連ソフトウェアの開発を行うCheck Pointによると、2016年に約1億台の端末に感染して月あたり3000万円もの利益を荒稼ぎしていたマルウェア「HummingBad」の派生種となるマルウェア「HummingWhale」がGoogle Playストアを経由して拡散していたことが判明しました。すでにアプリの配信はストップしていますが、このマルウェアに感染すると端末の中で仮想マシンが立ち上がり、不正に広告収入を生みだし続けるほか、勝手にアプリのレビューで良い評価を付けるという動作を行うことが明らかにされています。

A Whale of a Tale: HummingBad Returns | Check Point Blog
http://blog.checkpoint.com/2017/01/23/hummingbad-returns/

Virulent Android malware returns, gets >2 million downloads on Google Play | Ars Technica
http://arstechnica.com/security/2017/01/virulent-android-malware-returns-gets-2-million-downloads-on-google-play/

2016年7月にCheck Pointが存在を公表したHummingBadは最大で8500万台のAndroid端末に感染して、モバイル広告へのアクセス数等を不正に増加させることで月に30万ドル(約3000万円)もの収益をあげるというマルウェアでした。このマルウェアはインストールされた端末の中にルートキットを設け、広告詐欺を行ったり不正にアプリをインストールさせたりすることで収入を得ていたと考えられています。

8500万台のAndroid端末に感染して月3000万円を荒稼ぎする中国製マルウェア「HummingBad」 - GIGAZINE

そんなHummingBadから派生したとみられる新たなマルウェアが「HummingWhale」です。このマルウェアの驚くべき点は、以下の「Whale Camera」のように、Google Playストアで普通に配信されているアプリの中にコードが仕込まれている点にあります。20種類にもおよぶアプリはそれぞれ200万回から1200万回ダウンロードされており、端末の中で仮想マシンを動作させることで、以前よりも巧妙に広告詐欺を実行する仕組みになっているとのこと。

この仮想マシンは端末のユーザーに気づかれないまま動作を行うことが可能で、ニセのIDを作成してGoogle Playストアにアクセスし、マルウェアが入ったアプリに嘘の高評価を付けることも可能。Check Pointの研究者は「ユーザーは、もう公式アプリストアにおいてでも高評価を理由にアプリを信用するべきではないと認識すべきです」と、危険の高さを語っています。

Check Pointによると、この仮想マシンを実行させるためにHummmingWhaleは中国に拠点を置く企業「Qihoo 360」の技術者が開発した拡張機能「DroidPlugin」を用いているとのこと。

被害は主に日本以外の国で発生しているとみられますが、Check Pointは感染を確認したい人のために診断用のアプリを提供しています。また、Check Pointとは別のLookoutからも同様のアプリが提供されているとのこと。また、技術的にくわしい人は端末が「app.blinkingcamera.com」というURLにあるコントロールサーバーに接続していることを確認することでも、感染を確認することが可能とのこと。マルウェアが仕込まれたアプリは「com.bird.sky.whale.camera」のように、「com.XXXXXXXXX.camera」という形式で名前が付けられているため、こちらの方法で確認するのも方法の1つです。