PR

 トレンドマイクロは2013年12月3日、Androidスマートフォンのセキュリティ脅威の動向を解説するセミナーを開催した。Androidアプリをインストールすることによる脅威が巧妙化しているうえに、容易に不正アプリを作成できる「ツールキット」がサイバー犯罪者が集う“裏社会”で急速に普及していると説明。対策の重要性を訴えた。

 セミナーでは、トレンドマイクロで新しいセキュリティ脅威について調査・研究しているフォワードルッキングスレットリサーチ部門の林憲明シニアリサーチャーが、実際にツールキットを使った手口の実演を交えて説明した。悪用を防ぐためにツールキットの具体名は伏せられたが、ここでは「ツールX」と呼ぶ。

正規アプリに“遠隔操作ウイルス”埋め込む

 ツールXはWindowsで動作する。不正Androidアプリの自動作成から、ターゲットのAndroidスマートフォンを遠隔操作してデータを詐取する「MDM(モバイル・デバイス・マネジメント」機能までを統合的にサポート。GUI(グラフィカル・ユーザー・インタフェース)で、サイバー犯罪の“初心者”でも容易に扱えるように配慮されている。

 トレンドマイクロは、ツールXが裏社会で広く普及していることを把握した。2013年6月時点では37ドルで販売されていたが、その後ツールXの“不正コピー”が出回り、現在は実質無料で入手可能だという。

 ツールXの最大の特長は、正規のAndroidアプリを自動的に不正アプリ化する「リパッケージ」機能を備える点だ。Google Playストアなどで配布されるAndroidアプリのパッケージファイル(APKファイル)にはJavaのプログラム(バイナリー)が詰め込まれている。バイナリーは一見不規則な暗号文のように見えるが、専用のツールを使えば比較的容易にJavaのソースコードを“復元”できる。

 ツールXは、正規のアプリからJavaソースコードを抽出して、そこに不正コードを追加し、再度バイナリーを作成するリパッケージまでの一連の処理を自動で行う。「遠隔操作のために使うサーバー(コマンド&コントロールサーバー)のIPアドレスとポート番号」「対象とするAPKファイル」を指定してボタンをクリックするだけで、30秒ほどで不正アプリが生成される(写真1)。

写真1●「ツールX」でAndroidアプリのAPKファイルを「リパッケージ」するところ。遠隔操作用の不正コードを埋め込む処理を自動的に行う
写真1●「ツールX」でAndroidアプリのAPKファイルを「リパッケージ」するところ。遠隔操作用の不正コードを埋め込む処理を自動的に行う
[画像をクリックすると拡大表示]
写真2●トレンドマイクロがデモ用に作成した「勤怠管理」アプリをインストールするところ。アプリ本来の機能とは不釣り合いなデータへのアクセスを要求してくる
写真2●トレンドマイクロがデモ用に作成した「勤怠管理」アプリをインストールするところ。アプリ本来の機能とは不釣り合いなデータへのアクセスを要求してくる
[画像をクリックすると拡大表示]

 こうして生成された不正アプリは、Androidスマートフォンにインストールする時に、正規アプリと見分けるのが難しい。実際、著名なメッセンジャーソフトをリパッケージした不正アプリが出回って被害を及ぼした例があるという。ただし、インストール時に「通話履歴」「連絡先」「現在地」といった必要以上の情報にアクセスする権限を要求するなど、注意深く見れば不審な点もある(写真2)。