不正アプリの正規マーケット登録の裏にツールや審査回避の手法(トレンドマイクロ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

不正アプリの正規マーケット登録の裏にツールや審査回避の手法(トレンドマイクロ)

脆弱性と脅威 脅威動向

トレンドマイクロ株式会社は12月3日、「スマートフォン向け脅威動向セミナー~サイバー犯罪者が利用する最新の犯罪手口と有効な対策~」を開催した。本セミナーは、同社フォワードルッキングスレットリサーチのシニアリサーチャーである林憲明氏によって行われたもの。サイバー犯罪者の標的はPCだけでなく、スマートフォンにも拡大している。スマートフォンを狙う脅威は、初期は不正なWebサイトや偽マーケットなどに誘導するものやゲーム、動画に偽装するものが多く、犯罪者も手探りの状況であったが、現在は犯罪者の手口が多様化し、巧妙な攻撃が容易に実現できる環境にあるという。

特に最近では、正規のアプリマーケットを狙う傾向が顕著になっている。正規のマーケットには信頼感があり、デバイスに標準搭載されているためだ。しかしマーケット側も初回審査や巡回審査を行っており、犯罪者はこれらを回避するための対策にも余念がないという。初回審査への対策には、機能を必要最小限に絞ることと工数の簡略化、複数の開発者を騙るなどを行っている。

2013年1月からは多くの権限を求めず、詐欺行為を転送先のサイトで実施する不正アプリが急増した。単なるブラウザアプリにすれば不正なコードを埋め込む必要がなく、パーミッションもインターネットアクセスのみになるため、初期審査を回避できる。Google Playに公開されていたワンクリック詐欺アプリから、無作為に抽出した300個のアプリのうち、96%にあたる287件がインターネットアクセスのみのパーミッションであった。

また、アプリをコピー&ペーストで大量生産する傾向も確認されている。URLや外観を変更することで異なる無害なアプリを装うわけだ。さらには、開発者の名前を使い分けて投稿する手法もある。前述の300個のワンクリック詐欺アプリの開発者は80種類あったが、電子署名を確認すると80%にあたる241件がすべて同一の人物であった。一方、巡回審査への対策には時間差攻撃を実施している。これは、無害なアプリで初回の審査を通過した後で、更新機能によって不正アプリの機能を追加するというもの。

更新機能によって不正アプリ化する手法は、生存期間を長くする傾向があるため犯罪効果も高いという。一般的なワンクリック詐欺アプリが2日で削除されるのに対し、時間差攻撃を実施した不正アプリは削除されるまでに33日かかっている。そのためダウンロード数も格段に増えるが、それなりの知識が必要とされると林氏は言う。さらに今後の可能性として、ひとつの不正アプリを複数に分割して審査をパスし、その後の更新機能でひとつのアプリにする手法も登場するとみている。たとえば辞書アプリと言語ファイルといった組み合わせであれば、ユーザに疑問を抱かせない。

林氏は、正規アプリを無断で改変し再配布するためのツールも紹介した。「リパッケージ」と呼ばれるこの手法は、Androidがバイナリからコードへの可逆性が高いことを利用したもの。最近では、正規アプリと遠隔操作アプリを結合するツールもあり、2013年6月には37ドルで売られていたが、現在では無料で入手できる状態であるという。このツールキットは、正規アプリと遠隔操作アプリの結合を行う「バインダー」、犯罪者が遠隔操作を行う「操作パネル」、被害者のスマートフォンに潜伏する「遠隔操作アプリ」で構成される。

犯罪者はこのツールキットを使用して正規アプリを不正アプリにリパッケージし、再配布する。林氏は実際にこのツールキットにより作成した不正アプリのデモを行い、連絡先情報やショートメッセージ、画像など保存データの窃取や、スマートフォンのマイク機能による盗聴、GPS機能による位置情報の取得などを遠隔操作により行った。林氏は、こうした脅威の傾向に対し、トレンドマイクロではクラウド型アプリ評価サービス「Trend Micro Mobile App Reputation」を紹介、審査を回避する不正アプリの検出が可能であるとした。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  3. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

    「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  4. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  5. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  6. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  7. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  8. パケット解析ツール「Packetbeat」にDoS攻撃を受ける脆弱性(JVN)

  9. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

  10. サポート終了のモバイルルータ「PWR-Q200」に脆弱性、使用中止を呼びかけ(JVN)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×