2014年6月6日

株式会社Doctor Web Pacific

Google Playのセキュリティを強固なものにしようというGoogleの努力にも関わらず、マルウェアや潜在的に危険なアプリケーションの出現は後を絶ちません。最近では、SMSを勝手に送信し、他のアプリケーションをダウンロード・インストールするなどの動作を実行するプログラムがDoctor Webのセキュリティリサーチャーによって発見されています。このプログラムのダウンロード件数は100万件を超えており、ここ最近で起こった拡散のうち最も大規模なものの1つとなっています。

このプログラムはデバイスの設定を変更したり、機能の一部へのアクセスを容易にしたりするためのオプティマイザです。中でも特に、アプリケーションマネージャとして動作し（プログラムをインストール・アンインストールする、バックアップを作成するなど）、メモリをクリアしたり、インターネットトラフィックを監視したりすることができます。

これらの機能に加え、このプログラムはユーザーに気づかれずに不正なアプリケーションをダウンロードしたり、高額な課金SMSを送信したりといった動作を実行することが可能です。それらの動作の実行には複数の疑わしいサービスが使用され、それらのサービスはプログラムが実行されると同時に起動します。そのうちの1つはリモートサーバーとの通信に使用され、デバイスに関する情報（IMEIおよびIMSI）を送信し、以下のコマンドを受け取ります。

• ダウンロードするアプリケーションのリスト
• SMSメッセージのテキストや送信先番号
• 傍受する受信メッセージのリスト（送信者の番号とSMSテキスト）

また別のサービスはアプリケーションのインストールに使用されます。このサービスはpm installコマンドを使用し、作成されたapkファイルのリストに基づいてプログラムを密かにダウンロード・インストールします。この動作はルートアクセスを持ったデバイス上でのみ可能となっています。必要な権限を持っていない場合、インストールは通常のモードで行われ、ユーザーの確認を必要とします。

バックグラウンドでのインストール機能は、アプリケーションを1つのモバイルデバイス上から別のモバイルデバイス上へ移す場合などの使用を正規の目的としていますが、同時に、ユーザーの許可なしにプログラムをインストールするために悪用されることがあります。SMSの自動送信に関しては、この機能は直接コントロールセンターからのコマンドによって実行され、ユーザーがコントロールすることはできません。このような危険な機能を持つことから、Doctor Webではこのユーティリティを悪意のあるプログラムであると判断し、 Android.Backdoor.81.originとしてウイルスデータベースに追加しました。

Google Play上で発見された時点で、このプログラムのダウンロード件数は既に100万件を超え、多くのユーザーが高額な課金SMSを勝手に送信されてしまうという被害に遭っていました。5月26日の時点で、このプログラムは未だGoogle Playからダウンロードすることが可能な状態となっています。

悪意のある危険なプログラムによる被害を受けないようにするため、アプリケーションをダウンロードする際には必要とされる権限を確認し、Android向けの最新のアンチウイルスを使用することを推奨します。