セキュリティアプリで駆除できないAndroidマルウェア
http://internet.watch.impress.co.jp/docs/column/android/20120413_526057.html
前回はAndroidに感染するマルウェアの実例として、SMSを悪用するトロイの木馬(SMS Trojan)である「Fake Player」とボット型マルウェアである
「Geinimi」を紹介しました。前回の解説では、Androidを狙うマルウェアは、アプリの一部に混入させる形態が大多数であることを指摘しました。
つまり、ユーザー自身がマルウェアを含むアプリをダウンロードし、インストールすることで感染する「能動型」が多くの割合を占めるということに
なります。
ただし、完全にすべてがこの能動型であるわけではなく、その対義的意味となる「受動型」のマルウェアも存在します。受動型とは、ここでは
ユーザーがアプリなどを意識的にインストールすることなく感染してしまうタイプのマルウェアのことを指します。
2011年3月、通称「Droid Dream」と呼ばれるマルウェアが発見されました。Kaspersky LabでもDroid Dreamという呼称を使用することはありますが、
このマルウェアは単体で動作するのではなく、マルウェアの機能を持ついくつかのコンポーネントに分かれますので、Droid Dreamという攻撃の総称
と捉えた方がよいのかもしれません。
実際、Kaspersky Labの検知名を見てみると、「Exploit.AndroidOS.lotoor」「Backdoor.AndroidOS.Rooter」「Trojan-Downloader.AndroidOS.Rooter」と
いったように、Droid Dreamに感染した際に観測できるマルウェア検体の挙動や機能に応じて、いくつかの名称で区別しています。本稿では、Droid
Dreamという名称を総称として扱うことにします。
ここからはDroid Dreamの特徴について、感染の流れに沿って解説していきます。Droid Dreamが配布されたサイトは、Googleが運営するAndroid
Market(現Google Play)でした。
この事実だけでも、筆者は当時驚いてしまったわけですが、残念ながらDroid Dream以降もAndroid Marketにマルウェアを含むアプリが公開される
事例は何件かあります。従って、たとえアプリのダウンロード元がAndroid Marketであるとしても、マルウェア感染の危険が100%ないことが担保が
Droid Dreamからは少し話が脱線しますが、連載第1回で少し触れたように、Androidの「アプリケーション設定」画面には「提供元不明のアプリ(英語
インターフェイスではUnknown Source」)」という項目があります。説明には「サードパーティアプリケーションのインストールを許可する」とありますので、
この設定にチェックが入っていない状態(筆者の認識ではこれがデフォルトのはずです)であれば、提供元不明のアプリをダウンロードしてインストール
しないことになります。
提供元不明という表現は、筆者の素直な肌感覚だと、「いかにも怪しい」ということを言っているように思ってしまうのですが、実際にはAndroid Market
経由以外の経路で入手したアプリのことを提供元不明という表現にしていることを、改めて認識しておく必要があると思います。
Android Marketでもマルウェアが配布されていることは事実なのですから、Android Marketから入手しているからマルウェア感染の危険性はないと
いう考え方は、残念ながら現状のAndroidでは通用しない場合があると言えます(もちろん怪しいアプリ、特に海賊版などを安易にインストールすることは
全否定で推奨しません)。
されないということを十分に認識しておく必要があるでしょう。
Android Marketに公開されていたDroid Dreamは、音楽などいくつかの種類のアプリを装っていました。インストールすると、Android 2.2以前に存在して
いたOSの脆弱性を突くコードが実行されます。この部分がKaspersky Labで言うところのExploit.AndroidOS.lotoorになります。
OSの脆弱性を突くことでルート権限(管理者権限)を奪取し、ルート権限を持たないと書き込みができないエリア(/system/data)に書き込み(つまりイン
ストール)を行います。インストールを行うコンポーネントの中にもAndroidのインストールパッケージであるapkファイルが含まれており、具体的な挙動の
代表例としては、端末IDを窃取する、第三者からの指令を受けるところのバックドア(backdoor)としての動きをする、さらには第2・第3のマルウェアをダウン
ロードするもの(Trojan-Downloader)が挙げられます。
このように、Droid Dreamのマルウェアとしての機能は多岐に渡りますが、マルウェア対策を行う上で厄介なものが、ルート権限奪取の部分でしょう。
Android上で動作するマルウェア対策ソフトウェアは、市販されているものに関して言えば、一般ユーザー権限での動作しかで
前回はAndroidに感染するマルウェアの実例として、SMSを悪用するトロイの木馬(SMS Trojan)である「Fake Player」とボット型マルウェアである
「Geinimi」を紹介しました。前回の解説では、Androidを狙うマルウェアは、アプリの一部に混入させる形態が大多数であることを指摘しました。
つまり、ユーザー自身がマルウェアを含むアプリをダウンロードし、インストールすることで感染する「能動型」が多くの割合を占めるということに
なります。
ただし、完全にすべてがこの能動型であるわけではなく、その対義的意味となる「受動型」のマルウェアも存在します。受動型とは、ここでは
ユーザーがアプリなどを意識的にインストールすることなく感染してしまうタイプのマルウェアのことを指します。
2011年3月、通称「Droid Dream」と呼ばれるマルウェアが発見されました。Kaspersky LabでもDroid Dreamという呼称を使用することはありますが、
このマルウェアは単体で動作するのではなく、マルウェアの機能を持ついくつかのコンポーネントに分かれますので、Droid Dreamという攻撃の総称
と捉えた方がよいのかもしれません。
実際、Kaspersky Labの検知名を見てみると、「Exploit.AndroidOS.lotoor」「Backdoor.AndroidOS.Rooter」「Trojan-Downloader.AndroidOS.Rooter」と
いったように、Droid Dreamに感染した際に観測できるマルウェア検体の挙動や機能に応じて、いくつかの名称で区別しています。本稿では、Droid
Dreamという名称を総称として扱うことにします。
ここからはDroid Dreamの特徴について、感染の流れに沿って解説していきます。Droid Dreamが配布されたサイトは、Googleが運営するAndroid
Market(現Google Play)でした。
この事実だけでも、筆者は当時驚いてしまったわけですが、残念ながらDroid Dream以降もAndroid Marketにマルウェアを含むアプリが公開される
事例は何件かあります。従って、たとえアプリのダウンロード元がAndroid Marketであるとしても、マルウェア感染の危険が100%ないことが担保が
Droid Dreamからは少し話が脱線しますが、連載第1回で少し触れたように、Androidの「アプリケーション設定」画面には「提供元不明のアプリ(英語
インターフェイスではUnknown Source」)」という項目があります。説明には「サードパーティアプリケーションのインストールを許可する」とありますので、
この設定にチェックが入っていない状態(筆者の認識ではこれがデフォルトのはずです)であれば、提供元不明のアプリをダウンロードしてインストール
しないことになります。
提供元不明という表現は、筆者の素直な肌感覚だと、「いかにも怪しい」ということを言っているように思ってしまうのですが、実際にはAndroid Market
経由以外の経路で入手したアプリのことを提供元不明という表現にしていることを、改めて認識しておく必要があると思います。
Android Marketでもマルウェアが配布されていることは事実なのですから、Android Marketから入手しているからマルウェア感染の危険性はないと
いう考え方は、残念ながら現状のAndroidでは通用しない場合があると言えます(もちろん怪しいアプリ、特に海賊版などを安易にインストールすることは
全否定で推奨しません)。
されないということを十分に認識しておく必要があるでしょう。
Android Marketに公開されていたDroid Dreamは、音楽などいくつかの種類のアプリを装っていました。インストールすると、Android 2.2以前に存在して
いたOSの脆弱性を突くコードが実行されます。この部分がKaspersky Labで言うところのExploit.AndroidOS.lotoorになります。
OSの脆弱性を突くことでルート権限(管理者権限)を奪取し、ルート権限を持たないと書き込みができないエリア(/system/data)に書き込み(つまりイン
ストール)を行います。インストールを行うコンポーネントの中にもAndroidのインストールパッケージであるapkファイルが含まれており、具体的な挙動の
代表例としては、端末IDを窃取する、第三者からの指令を受けるところのバックドア(backdoor)としての動きをする、さらには第2・第3のマルウェアをダウン
ロードするもの(Trojan-Downloader)が挙げられます。
このように、Droid Dreamのマルウェアとしての機能は多岐に渡りますが、マルウェア対策を行う上で厄介なものが、ルート権限奪取の部分でしょう。
Android上で動作するマルウェア対策ソフトウェアは、市販されているものに関して言えば、一般ユーザー権限での動作しかで
|
|
|
('仄')パイパイ