2017年7月5日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストはダウンローダ型トロイの木馬を含んだゲームをGoogle Play上で発見しました。この悪意のあるアプリケーションは、別のソフトウェアを密かにダウンロード・インストール・起動することができます。このトロイの木馬のダウンロード件数は100万件を超えています。

Android.DownLoader.558.origin と名付けられたこの悪意のあるアプリケーションは人気の高いゲームBlazBlueに組み込まれ、100万件を超えてダウンロードされていました。このトロイの木馬は、Android向けプログラムのアップデートを自動化・簡略化するために設計された「Excelliance」と呼ばれる特別なソフトウェアパッケージ(SDK、ソフトウェア開発キット)の一部です。

アプリケーションの古いバージョン全体を新しいバージョンと入れ替える標準的なアップデート方法とは異なり、上記のSDKは、ソフトウェアパッケージ全体を再インストールすることなく必要なコンポーネントのみを個別にダウンロードすることを可能にします。これにより、デベロッパーはユーザーが新しいバージョンのリリースを把握していない場合でも、モバイルデバイス上にインストールされたソフトウェアを常に最新のバージョンに保つことが可能になります。しかしながら、Excellianceは未検査のアプリケーションコンポーネントをダウンロード・起動してしまう可能性があるため、ダウンローダ型トロイの木馬として動作すると言うことができます。このアップデート方法は危険であり、Google Playの規則に違反しています。

Android.DownLoader.558.origin は、自身が組み込まれているプログラムまたはゲームの初回起動と同時に動作を開始します。このトロイの木馬は、他のアプリケーションエレメントと一緒に、ディレクトリからリソースと共に抽出されて復号化されます。その後は、ユーザーが感染したアプリケーションを起動しなくとも、モバイルデバイスがインターネットに接続される度に自動的に起動します。

このトロイの木馬モジュールは、ネットワークアクティビティを追跡し、C&Cサーバーへの接続を試みます。サーバーの設定により、 Android.DownLoader.558.origin は応答として、別のプログラムコンポーネントをダウンロードするコマンドを受け取る場合があります。例えばBlazBlueの場合、欠けているファイルやアップデートがあれば、モジュールはそれらをダウンロードするよう提案します。

アプリケーションの追加のリソースやアップデートに加え、 Android.DownLoader.558.origin は個別のAPKファイル、DEXファイル、ELFファイルをダウンロードすることができます。これらのファイルはユーザーに気付かれずに起動される場合があります。例えば、ダウンロードされたDEXファイルのコードはユーザーの操作を必要とせず、自動的に実行されます。

一方、ダウンロードされたAPKファイルのインストールが行われる際は、ユーザーに対して標準的なダイアログボックスが表示されます。 ただし、 Android.DownLoader.558.origin がルート権限を持っている場合、インストールはユーザーに気付かれずに実行されます。これが、SDK「Excelliance」の最も危険な点です。その製作者によって、いつメインのアプリケーションに全く関係のないオブジェクトをダウンロードするよう指示するコマンドが送信されないとも限りません。そのようなオブジェクトとして、広告モジュールや第三者プログラム、さらにはGoogle Play以外からダウンロードされて許可なしに実行される別のトロイの木馬などが挙げられます。

Doctor Webでは、ゲーム「BlazBlue」で使用されているSDKに含まれるトロイの木馬コンポーネントの危険な動作についてGoogle社に報告を行いました。しかしながら、本記事掲載時点で、 Android.DownLoader.558.origin を含んだバージョンのBlazBlueはGoogle Play上でダウンロード可能な状態のままとなっています。

Android.DownLoader.558.origin を含んだアプリケーションはDr.Web for Androidアンチウイルス製品によって検出されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Android.DownLoader.558.originの詳細(英語)