2500万台のAndroid端末が感染しているマルウェア「Agent Smith」見つかる

by geralt

セキュリティ会社・Check Point Researchの調査により、世界で2500万台に感染している新種のマルウェアが見つかりました。「Agent Smith(エージェントスミス)」と呼ばれるこのマルウェアは、他のアプリを悪質なコード入りのものに置き換え、ユーザーにとって不要な広告を表示させるもので、すでにストアからは削除されているとのこと。

25 Million Infected Devices: Check Point Research Discovers New Variant of Mobile Malware | Check Point Software
https://www.checkpoint.com/press/2019/25-million-infected-devices-check-point-research-discovers-new-variant-of-mobile-malware/

Malicious apps infect 25 million Android devices with 'Agent Smith' malware
https://phys.org/news/2019-07-malicious-apps-infect-million-android.html

「Agent Smith」は中国製アプリで、中国のアプリ開発者が外部のプラットフォームで自分たちのアプリの宣伝をするために用いられていました。見た目は普通のゲームアプリですが、インストールされるとメッセンジャーアプリ「WhatsApp」やウェブブラウザ「Opera」といったポピュラーなアプリをダウンロードしてきて悪質なコードを挿入して「乗っ取り」を行います。その後、ユーザーが本物のアプリに与えた権限を横取りする形で、ユーザーに対して不要な広告を表示してくるとのこと。

Check Pointによると、「Agent Smith」はAndroidのセキュリティ上の脆弱性を突いているとのことで、ショッピングアプリなどが同様に乗っ取られた場合、攻撃者がリモートで銀行口座にアクセスする可能性もあると指摘しています。

今回「Agent Smith」が利用していた脆弱性の1つは、2017年に発見された「Janus」と呼ばれるもので、Googleはすでにパッチをリリースしています。

New Android vulnerability allows attackers to modify apps without affecting their signatures | Guardsquare
https://www.guardsquare.com/en/blog/new-android-vulnerability-allows-attackers-modify-apps-without-affecting-their-signatures

しかし、アップデートが世界中のすべてのAndroid端末で適用されたわけではないため、今回のように未対応端末の大規模感染が発生したようです。報告によれば、「Agent Smith」は主にヒンディー語、アラビア語、ロシア語、インドネシア語のユーザーをターゲットにしていて、インドで1500万台の被害が出ているほか、パキスタン、バングラデシュなどのアジア諸国でも大規模な感染が確認されていて、アメリカでも30万台が感染しています。

「Agent Smith」を配布していたグループは、これとは別にGoogle Playでも同様のマルウェアを配布していたことがあり、すでに当該アプリはGoogle Playから削除されているものの、1000万回以上ダウンロードされていたとのこと。

テック系ニュースサイトのPhys.orgに対して、セキュリティ会社であるトレンドマイクロのダスティン・チャイルズ氏は「ウェブサイトを閲覧するだけでアプリをインストールしてくる悪質な広告があります。広告ブロッカーは、単に『広告』をブロックするだけではないのです」と、広告ブロックアプリの利用を推奨し、アプリをダウンロードするときはサードパーティ製ストアを利用せず、Google Playからダウンロードするように呼びかけました。