ポケモンGO アプリでトロイの木馬/Androidスマホで感染/対策は
2017/01/18
ポケモンGOに関係したGooglePlayの
アプリがトロイの木馬だったことが判明
対策は大丈夫か?
問題のアプリは削除されたが、
感染した端末もあった模様。
英語版のアプリだったので、
今回日本は大丈夫だったが、
今後同じようなことが日本でも
起こる可能性があります。
どんな対応をすればいいでしょうか。
はじめに
ポケモンGOは大変なブームです
が、それゆえに、ウィルスなどを
使う犯罪者にとっては、格好の
ターゲットになります。
実際に、公式のサイトである、
GooglePlayに掲載されていた
ポケモンの関連アプリが、
トロイの木馬を含むマルウェアで
あったことが判明し、削除されていた
ことがわかりました。
筆者が使っているプロバイダーのブログで
注意を喚起しており、またカスペルスキー
(セキュリティソフトウェアの会社)
からも報告が出ているので、
まとめておきます。
Google Playで「ポケモンGO」関連マルウェア発見
2016年7月にリリースされ、世界中で人気の「ポケモンGO」ですが、9月に入ってから、このゲーム利用者を標的としたマルウェア(ウイルス)が、Android端末用アプリの公式マーケット「Google Play」で発見されました。
これは、GooglePlay上のアプリ、「Guide for Pokémon Go」で、セキュリティソフトのカスペルスキーが発見し、Googleに報告され、削除されました。
しかし、その時点で、すでに50万回以上もダウンロードされ、少なくとも6000件の感染があったとみられています。
感染は、ロシア、インド、インドネシアなどで確認されているのですが、英語圏をターゲットにしているため、実態として世界中にもっと多くの感染者がいると考えられています。
厄介なことに、このトロイの木馬は、巧妙な偽装の仕掛けを持っているようです。アプリをインストールした環境が仮想マシン(セキュリティアナリストが不審なアプリのふるまいを確認するシステム)か、一般ユーザーが使っているAndroidスマートフォンかを確認し、仮想マシンと判断すれば何もしないで、検知を巧妙に逃れるということです。このため、発見が難しいということです、
「Guide for Pokémon Go」の”トロイの木馬”に感染するとどうなる
Google Playに置かれていた不正アプリ「Guide for Pokémon Go」はどんな振る舞いをするのでしょうか?
このアプリをダウンロードしてインストールしても、最初は、仕込まれたトロイの木馬は何もしないそうです。
ユーザーが別のアプリをインストールまたはアンインストールするまでじっと待ち、トロイの木馬がインストールされている環境が仮想マシンか実デバイスかを判断します。
実デバイス上にいることを確認した段階で、感染したAndroidデバイスの詳細情報(国、言語、モデル、OSのバージョンなど)を収集し、外部(サイバー犯罪の指揮統制を行うサーバー)に送信します。
このサーバーは、通常、C&Cサーバー(コマンド&コントロールサーバー)と呼ばれています。これは、サイバー攻撃で、マルウェアに感染した端末をを制御したり、命令を出したりする役割をします。
サーバーは、送られた情報を分析して犯罪に使える標的かどうかを判断します。
その後、トロイの木馬は、外部の悪意ある犯罪者から指示を受けた場合にだけ、C&Cサーバーの指示に従って、悪意あるファイル(マルウェア)をダウンロードさせるということです。
これらのマルウェアによって、過去に発見されているOSの脆弱性を悪用することが可能になり、例えば、システムのルート権限を取得したり、追加の不正アプリを密かにインストールして、感染したデバイスを迷惑広告で埋め尽くすなど、やりたい放題です。
そこまで行くと、サイバー攻撃者は、不正広告の利益だけでは飽き足らず、デバイスをロックして身代金を要求したり(ランサムウェア)、銀行口座からお金を盗んだりする手段も、やろうと思えばできてしまいます。
似たようなマルウェアの発見状態
今回の、ポケモン関連のアプリに含まれていたマルウェアは、50万回以上もダウンロードされ、少なくとも6000件の感染されているわけですが、カスペルスキー研究所(Kaspersky Lab)の調査では、2015年7月にもこの不正アプリの別のバージョンが少なくとも1本、Google Playで提供されていたことが判明しています。
その他にも、2015年12月以降、同じトロイの木馬に感染したほかのアプリが少なくとも9本、Google Playで提供されていたこともわかっているようです。
これらの感染や蔓延の状態は正確には不明ですが、確実に広がりつつあるように見えます。
ポケモンを捕まえている間に不正アプリに捕まらないために
上のような状態を見ると、GooglePlay上のアプリといえども、ユーザーも無防備にダウンロードできません。
(1) GooglePlayのような、公式ストアからダウンロードしたアプリも、実は100%安全とは言い切れないことは、意識しておきましょう。いつも、セキュリティの情報には、気をつけて、知らないアプリのダウンロードには、用心しましょう。
(2) Google Playのレビューと評価は必ずしも信頼できるとは限らないことも、知っておきましょう。
「Guide for Pokémon Go」は、Google Playで星4つを得ていたそうです。特殊なマルウェアを使って、レビューや評価をでっちあげることが可能であることも、理解しておきましょう。要するに過信は禁物です。
(3) Androidスマートフォン向けのセキュリティパッチがリリースされたら、すぐにインストールしましょう。
これは、PCについても、同じです。
サイバー犯罪者は、常に、OSの脆弱性をついてきます。
最後の砦としては、Android用のセキュリティソフトを入れて、常に最新のアップデートをかけておくことが望ましいです。
詳細については、Securelist.comのブログ記事をご覧ください。(英語です)
なおこのトロイの木馬は、すべてのカスペルスキーソフトの脆弱性攻撃ブロック技術によって、感染の初期段階で検知でき、HEUR:Trojan.AndroidOS.Ztorg.ad名で検出・ブロックするということです。
このブログの管理人、元気シニアも、カスペルスキーを入れています。
カスペルスキー 2016 マルチプラットフォーム セキュリティ 無料体験版
最後まで読んでいただきありがとうございました。
関連記事 スマホのウィルス感染の実情と対策
関連記事 トロイの木馬はウィルス? 感染するとどうなるか?感染しないためには?
[ad#res-1]
[ad#res-1]