マルウェア

人気の広告ライブラリを用いてアンチウイルス検知を回避する新種のAndroidマルウェア群を発見

2 min read

概要

サイバーセキュリティの専門家などで構成されるパロアルトネットワークスの脅威調査チームであるUnit 42は、「VirusTotal」^※¹が提供するすべてのアンチウイルス製品を回避できる新種のAndroidマルウェア群を発見しました。このマルウェア群はその悪質な主機能名から「Gunpoder」と名付けられ、Unit 42は3種類の亜種マルウェアを49件のサンプルから検出しました。今回の注目点は、アンチウイルス製品では従来防御されてこなかった「アドウェア」と、被害をもたらす「マルウェア」の間には微妙な差しかないということが明らかになりました。

※１ VirusTotal：ウイルス、マルウェア、URLフィルタリングの無料オンラインスキャンサービス。 40 種類以上のウイルス対策製品を使用してファイルを検査できる。

Gunpoderのサンプルは2014年11月よりVirusTotalにアップロードされており、すべてのアンチウイルスエンジン（ソフトウェア）で「無害」または「アドウェア」として判定されており、従来型の防御対策ではこのマルウェアのインストールを防いでいませんでした。分析の過程において、このサンプルにはアドウェアの特徴が多く含まれ、実際によく使われるアドウェアライブラリが埋め込まれている一方、以下に示されるようにマルウェアとして判定されるような明らかに悪質な振る舞いも多く発見されました。

ユーザーから機密情報を収集する
SMSメッセージ経由で拡散する
詐欺的な広告を配信する可能性がある
追加の有料課金を実行する機能

Gunpoderはイラク、タイ、インド、インドネシア、南アフリカ、ロシア、フランス、メキシコ、ブラジル、サウジアラビア、イタリア、米国、スペインを含む、少なくとも13か国のAndroidユーザーを標的にしています。Gunpoderのリバース・エンジニアリング（解析調査）から、この新しいAndroid向けマルウェアは中国国外のユーザー間でのみ拡散するという興味深い事象が確認されました。

Unit 42はGunpoderをパロアルトネットワークスのAutoFocusサービスによる調査を行い、WildFire、脅威防御、Mobile Security Managerの各ユーザーに対して現時点で既知であるすべてのGunpoder亜種に関するシグネチャをリリースしました。攻撃のライフサイクル全体にわたるパロアルトネットワークス独自の防御機能により、Gunpoderマルウェア群の将来的な亜種もブロックできる可能性があります。

検出を回避する技術を適用

リバースエンジニアリングしたサンプルを調査することにより、マルウェア作成者はアンチウイルスによる検出を回避するためにいくつかの独自技術を適用していたことを発見しました。

Gunpoderサンプル内には正規の広告ライブラリが含まれています。これら広告ライブラリは容易に検出でき、攻撃的な振る舞いがみられることもあります。このマルウェアサンプルは、このような広告ライブラリを使うことで、悪質な振る舞いを見えないようにして、アンチウイルスの検出機能を回避しています。アンチウイルスエンジンはGunpoderをアドウェアであると認識しますが、明らかに悪質であるものと識別しないため、ほとんどのエンジンではGunpoderの実行を防ぐことはできません。図1に、あるサンプルにおけるVirusTotalでのスキャン結果を示します
Gunpoderを実行したユーザーには正規の広告ライブラリが含まれる旨の通知が表示されます。この通知は、正規のライブラリを意図的にスケープゴート（身代わり）として利用するために追加されたものと考えられます。
Gunpoderのサンプルは、オープンソースのゲームフレームワーク(http://sourceforge.net/p/nesoid/code/ci/master/tree/)に基づき、ニンテンドーエンターテインメントシステム（以下NES）のエミュレータゲーム内に悪質なコードを埋め込みます。パロアルトネットワークスでは、マルウェア作成者がオープンソースのAndroidアプリケーションにマルウェアコードを組み入れて再パッケージ化を行う傾向があることを確認しました。Gunpoderはこの技術を用いることで、静的解析が行われた場合に悪質なコードを判別しづらくしています。
Gunpoderの標的となるユーザーは中国在住者ではありません。サンプルではPayPal、Skrill、Xsolla、CYPayといったオンライン決済のサポートが確認されました。

図1: アドウェアになりすましてウイルススキャンを回避するGunpoderサンプル

Gunpoderの起動

GunpoderサンプルはNESゲームを装います。インストール後、最初に開くとプライバシーポリシーを表示します (図2)。この文章は、本アプリが広告を表示し、デバイスから情報を収集するために広告ライブラリを許可していることをユーザーに明示的に通知します。悪質な振る舞いを目立たせず広告ライブラリのせいにするため、マルウェア作成者が意図的に本物の広告ライブラリをスケープゴートとして追加したのだと推測されます。

起動すると、アプリはこのゲームの「永久」ライセンスの支払いをユーザーに要求するダイアログをポップアップ表示します。ユーザーが「Great! Certainly!」ボタンをクリックすると、PayPal, Skrill, Xsolla (決済用リンクは無効になっている)、CYPayを含む決済ダイアログがポップアップ表示されます。ユーザーは0.29米ドルまたは0.49米ドルを支払うため、PayPalまたはSkrillの新規アカウントを登録するか既存のアカウントにログインする必要があります。CYPayではオンラインギフト券との引き換えが行えます。ユーザーが本アプリ内の「Cheats」オプションをクリックした場合も、この決済ダイアログがポップアップ表示されます。実際に、マルウェア作成者はこの悪質な決済機能を元のアプリでは無料である「Cheats」オプションに追加しています。

図2: 偽のサービス購入画面

本マルウェアのサンプルはNESエミュレータフレームワーク
(http://sourceforge.net/p/nesoid/code/ci/master/tree/) を再パッケージ化したものです。2014年4月に、パロアルトネットワークスは無料のオープンソースプロジェクトからモバイルマルウェアを生成する傾向を確認しました
（英語）。これは、今後も続く可能性があります。

Gunpoderとオープンソースプロジェクトのコードを比較したところ、図3に示すようにマルウェア作成者が決済機能を追加したことが判明しました。決済ダイアログを図4に示します。

(CheatsActivity.java)

図3: オープンソースフレームワークにマルウェア作者が追加した決済コード

図4: 決済用にポップアップされたダイアログ (0.29米ドルを課金)

SMSとGoogle短縮URLを介して拡散

選択された連絡先宛にGunpoderダウンロード用リンクをSMSで送信することで、Gunpoderマルウェアは広がっていきます。SMSメッセージのサイズ上限のため、ダウンロード用リンクにはhttp://goo.gl/KVhRwC (2015年7月現在有効) と http://goo.gl/OpnVHv (2015年7月現在無効) というGoogle短縮URLを用いています。

拡散されるSMSメッセージは2つの方法で送信されます。一つ目はメイン操作がユーザーにより一時停止された時です。動的解析を行うほとんどのアンチウイルスエンジンでは、送信操作を検知対象とするため検出が非常に困難になります(図5)。

二つ目の方法は、不正モードを有効にする決済をユーザーが拒否したとき、つまり図2の「Next Time」ボタンをクリックしたときに発生します。この場合Gunpoderは、本マルウェアグループの亜種である「fun game (楽しいゲーム)」を共有するようユーザーに要求します (図6)。

興味深いことに、Gunpoderサンプルはユーザーの今いる国を検出します。ユーザーが中国にいない場合、本アプリはバックグラウンドでランダムに選択した友人にマルウェア亜種のダウンロード用リンクが含まれるSMSメッセージを自動的に送信します(図7)。

MainActivity.java

図5: メイン操作が一時停止されるとSMSを送信

図6: 友人とマルウェア亜種を共有

(ShareTool.java)

図7: ランダムに選択した連絡先に亜種のダウンロードリンクを送信

国ごとのアプリケーション広告

Gunpoderサンプルは、他アプリケーションの販促用広告をポップアップ表示します。マルウェアのサンプルが13か国を標的にしていることがコード内で確認されています。作成者は販促用アプリケーションをダウンロードさせるため、国ごとに特定のURLを使用しています。しかしこれらダウンロードリンクは、この記事の執筆時点ではアクティブではありません。同一サンプル内で確認されたデバッグコードからは、「Wang Chunlei」 (中国語) という名前が発見されました。これはマルウェア作成者の名前である可能性が非常に高いです (図8)。

(BrowserAd.java)

図8: 13か国を標的にするマルウェア

詐欺広告の可能性

Gunpoderマルウェア群は正規の広告ライブラリを介して、被害者に詐欺広告を配信していることが確認されました (図9)。詐欺広告は破壊的な技術を使用して被害者がクリックするように仕向けようとするものです。詐欺広告ページはFacebookページをまねており、被害者をいくつかのアンケート質問に答えさせ、プレゼントを受け取るためさまざまなアプリケーションをインストールするよう要求します。

キャプチャされたGunpoderログから上記の詐欺広告ログに関する情報が見て取れます。本マルウェアは被害者から被害者のデバイスID、デバイスモデル、位置情報を含む詳細なユーザーおよびデバイス情報を収集してアップロードします。

図9: 正規のライブラリを通してGunpoderにより出力された詐欺広告

個人情報搾取

Gunpoderによって被害者のブラウザ履歴およびブックマークの情報が取得されていることが発見されました (図10)

図10: ブラウザ履歴およびブックマークの搾取

さらに、Gunpoderは被害者のデバイスにインストールされているすべてのパッケージに関する情報を収集します。ペイロードを実行するための機能も提供されています。復号化した後にペイロードをロードして実行する動的なコードが “com.fcp.a” と“com.fx.a”コンポーネントに内在しています。

影響

これまでのところ、パロアルトネットワークスはGunpoderマルウェアについて49件の個別サンプルを検出しています。これらの亜種として3つの異なるグループが見つかっています。さまざまなGunpoder亜種サンプルを比較することにより、Gunpoderの進化について多くの見解を得ることができました。

具体的には、グループ1の亜種 (12件のサンプル) はSMS経由の拡散と、支払い誘引を行います。グループ2の亜種 (16件のサンプル) は支払い誘引のみを行い、グループ3の亜種 (21件のサンプル)はSMSによる拡散か支払い誘引のいずれかを行います。グループ3はGunpoderマルウェアの最新亜種として発見されました。

また、グループ1とグループ2は同じ署名の証明書が使用され、グループ3は異なる署名の証明書が使用されています。グループ間での証明書の違いはあるものの、これらすべてのサンプルは同一のマルウェア作成者によって記述された可能性が非常に高いと考えられます。3つの亜種グループで多くの変数が一貫性を持っており、“Constants.java”では以下が確認されています。

SHARE_CONTENT = "a fun game\uff0c^_^ http://goo.gl/KVhRwC"

3つのGunpoder亜種のハッシュリストに関しては付録を参照してください。

前述のサンプルは、http://www.aptoide.com/ と http://www.mgccw.comの2つのサードパーティ製App Storeからダウンロードできました。

ユーザーがだまされた場合、高額な請求が来ることになります。偽の決済ではわずか0.29米ドルまたは0.49米ドルが課金されるだけですが、SMS送信に起因する請求はこれよりはるかに高額です。SMS請求書の総額はユーザーのデバイスにどれだけの連絡先が存在するかに依存します。

結論

全体的にGunpoderマルウェア群にはアドウェアに付随する多くの動作が確認されています。しかし前述のように悪質な機能も多数存在します。今回の例では、被害者から機密性の高い情報を収集する機能、SMSメッセージを介して伝播すること、他のペイロードを実行する機能などがあります。

正規の広告ライブラリが組み入れられているため、多数のアンチウイルスプログラムがGunpoderを単なるアドウェアとして識別してしまい、多くの場合デフォルトでブロックされません。

対策

パロアルトネットワークスはWildFire、Threat Prevention、Mobile Security Managerの各ユーザー向けに現時点で既知であるすべてのGunpoder亜種に関するシグネチャをリリースしました。攻撃のライフサイクル全体にわたるパロアルトネットワークス独自の防御機能により、Gunpoderマルウェアグループの将来の亜種もブロックできる可能性があります。