不正アプリの正規マーケット登録の裏にツールや審査回避の手法(トレンドマイクロ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

不正アプリの正規マーケット登録の裏にツールや審査回避の手法(トレンドマイクロ)

脆弱性と脅威 脅威動向

トレンドマイクロ株式会社は12月3日、「スマートフォン向け脅威動向セミナー~サイバー犯罪者が利用する最新の犯罪手口と有効な対策~」を開催した。本セミナーは、同社フォワードルッキングスレットリサーチのシニアリサーチャーである林憲明氏によって行われたもの。サイバー犯罪者の標的はPCだけでなく、スマートフォンにも拡大している。スマートフォンを狙う脅威は、初期は不正なWebサイトや偽マーケットなどに誘導するものやゲーム、動画に偽装するものが多く、犯罪者も手探りの状況であったが、現在は犯罪者の手口が多様化し、巧妙な攻撃が容易に実現できる環境にあるという。

特に最近では、正規のアプリマーケットを狙う傾向が顕著になっている。正規のマーケットには信頼感があり、デバイスに標準搭載されているためだ。しかしマーケット側も初回審査や巡回審査を行っており、犯罪者はこれらを回避するための対策にも余念がないという。初回審査への対策には、機能を必要最小限に絞ることと工数の簡略化、複数の開発者を騙るなどを行っている。

2013年1月からは多くの権限を求めず、詐欺行為を転送先のサイトで実施する不正アプリが急増した。単なるブラウザアプリにすれば不正なコードを埋め込む必要がなく、パーミッションもインターネットアクセスのみになるため、初期審査を回避できる。Google Playに公開されていたワンクリック詐欺アプリから、無作為に抽出した300個のアプリのうち、96%にあたる287件がインターネットアクセスのみのパーミッションであった。

また、アプリをコピー&ペーストで大量生産する傾向も確認されている。URLや外観を変更することで異なる無害なアプリを装うわけだ。さらには、開発者の名前を使い分けて投稿する手法もある。前述の300個のワンクリック詐欺アプリの開発者は80種類あったが、電子署名を確認すると80%にあたる241件がすべて同一の人物であった。一方、巡回審査への対策には時間差攻撃を実施している。これは、無害なアプリで初回の審査を通過した後で、更新機能によって不正アプリの機能を追加するというもの。

更新機能によって不正アプリ化する手法は、生存期間を長くする傾向があるため犯罪効果も高いという。一般的なワンクリック詐欺アプリが2日で削除されるのに対し、時間差攻撃を実施した不正アプリは削除されるまでに33日かかっている。そのためダウンロード数も格段に増えるが、それなりの知識が必要とされると林氏は言う。さらに今後の可能性として、ひとつの不正アプリを複数に分割して審査をパスし、その後の更新機能でひとつのアプリにする手法も登場するとみている。たとえば辞書アプリと言語ファイルといった組み合わせであれば、ユーザに疑問を抱かせない。

林氏は、正規アプリを無断で改変し再配布するためのツールも紹介した。「リパッケージ」と呼ばれるこの手法は、Androidがバイナリからコードへの可逆性が高いことを利用したもの。最近では、正規アプリと遠隔操作アプリを結合するツールもあり、2013年6月には37ドルで売られていたが、現在では無料で入手できる状態であるという。このツールキットは、正規アプリと遠隔操作アプリの結合を行う「バインダー」、犯罪者が遠隔操作を行う「操作パネル」、被害者のスマートフォンに潜伏する「遠隔操作アプリ」で構成される。

犯罪者はこのツールキットを使用して正規アプリを不正アプリにリパッケージし、再配布する。林氏は実際にこのツールキットにより作成した不正アプリのデモを行い、連絡先情報やショートメッセージ、画像など保存データの窃取や、スマートフォンのマイク機能による盗聴、GPS機能による位置情報の取得などを遠隔操作により行った。林氏は、こうした脅威の傾向に対し、トレンドマイクロではクラウド型アプリ評価サービス「Trend Micro Mobile App Reputation」を紹介、審査を回避する不正アプリの検出が可能であるとした。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. 偽の警告文を表示する詐欺サイトが急増、警察庁を装い罰金を要求するケースも(キヤノンITS)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×