2019年4月18日

株式会社Doctor Web Pacific

Doctor WebのウイルスアナリストはAndroid OSの複数の脆弱性を悪用するトロイの木馬 Android.InfectionAds.1 について調査を行いました。このトロイの木馬はそれらの脆弱性を利用してソフトウェアを感染させ、ユーザーの操作なしにアプリケーションをインストール／アンインストールします。 Android.InfectionAds.1 のもう1つの目的は広告を表示させることです。

犯罪者はこのトロイの木馬を無害なソフトウェアに埋め込み、改変したコピーを Nine Store や Apkpure などの人気のサードパーティAndroidアプリストアから配信していました。HDカメラ、ORG 2018_19\Tabla Piano Guitar Robab Guitar、Euro Farming Simulator 2018、Touch on Girlsなどのゲームやソフトウェアで Android.InfectionAds.1 が検出されています。それらの中には少なくとも数千人のモバイルデバイスユーザーによってインストールされているものもあり、感染しているアプリケーションと被害を受けたユーザーの数はさらに多い可能性があります。

ユーザーによって起動されると、トロイの木馬を含んだプログラムはファイルリソースから補助モジュールを抽出し、それらを復号化して起動させます。そのうちの1つは迷惑な広告を表示するよう設計されており、その他のモジュールはソフトウェアを感染させ、自動的にアプリケーションをインストールします。

Android.InfectionAds.1 はシステムインターフェースや動作中のアプリケーションの前面に広告バナーを表示させることでデバイスの操作を困難にします。また、C6Cサーバーからのコマンドに応じて、多くのプログラムやゲームで使用されているAdmobやFacebook、Mopubなどの広告プラットフォームのコードを改変することもできます。トロイの木馬はそれら広告の識別子を自身の識別子に置き換えることで、感染したアプリケーション内に広告を表示することで得られるすべての収益が犯罪者の手に渡るようにします。

Android.InfectionAds.1 は、Androidのクリティカルな脆弱性 CVE-2017-13315 を悪用しています。この脆弱性はトロイの木馬がシステムアクティビティを開始することを可能にするもので、その結果、トロイの木馬はユーザーに気づかれることなくプログラムを自動的にインストール／アンインストールすることができるようになります。 Android.InfectionAds.1 は、この脆弱性が悪用される可能性を証明するために中国のリサーチャーによって書かれたPoC（Proof of Concept：概念実証）コードを基に作成されています。

CVE-2017-13315は EvilParcel と呼ばれる脆弱性に分類されます。これは、アプリケーションとオペレーティングシステム間でやり取りされるデータの改変を可能にしてしまうエラーが複数のシステムコンポーネントに含まれているということを意味します。やり取りされるデータのフラグメントが特別に生成され、その最後の値は元の値と異なるものになります。こうして、プログラムはOSによるチェックを回避し、より高い権限を取得して、これまで不可能だった動作を実行します。現在のところ、この種類の7つの脆弱性が知られており、その数は今後増えていくものと考えられます。

EvilParcelを利用して、 Android.InfectionAds.1 はトロイの木馬のすべてのコンポーネントが含まれた隠しAPKファイルをインストールします。同様に、その他のソフトウェアやマルウェア、C&Cサーバーからダウンロードした自身のアップデートをインストールすることができます。たとえば、Doctor Webによる分析中には、自身の亜種の1つであるマルウェア Android.InfectionAds.4 をインストールしていました。

以下の画像は、トロイの木馬がユーザーの許可なしにどのようにアプリケーションをインストールするかを示した一例です。

EvilParcelのほかに、このトロイの木馬は Janus（CVE-2017-13156） として知られるまた別のAndroidの脆弱性も悪用します。この脆弱性は、既にインストールされているアプリケーションにトロイの木馬のコピーを埋め込むことでそれらを感染させるために使用されます。 Android.InfectionAds.1 はC&Cサーバーに接続し、感染させるプログラムのリストを取得します。リストの内容は亜種によって異なる場合があります。リモートサーバーへの接続に失敗した場合は、初期設定で指定されているアプリケーションを感染させます。以下は、Doctor Webによって調査された Android.InfectionAds.1 のバージョンの1つに含まれるリストの例です。

• com.whatsapp (WhatsApp Messenger);
• com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
• com.mxtech.videoplayer.ad (MX Player);
• com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
• com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
• com.jiochat.jiochatapp (JioChat: HD Video Call);
• com.jio.join (Jio4GVoice);
• com.good.gamecollection;
• com.opera.mini.native (Opera Mini - fast web browser);
• in.startv.hotstar (Hotstar);
• com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
• com.domobile.applock (AppLock);
• com.touchtype.swiftkey (SwiftKey Keyboard);
• com.flipkart.android (Flipkart Online Shopping App);
• cn.xender (Share Music & Transfer Files – Xender);
• com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
• com.truecaller (Truecaller: Caller ID, spam blocking & call record);
• com.ludo.king (Ludo King™).

ソフトウェアを感染させるために、このトロイの木馬はデジタル署名を変更せずに自身のコンポーネントをAPKファイルに埋め込みます。次に、改変されたバージョンのアプリをオリジナルの代わりにインストールします。脆弱性 Janusによって、感染したファイルのデジタル署名は変わらず元のままとなるため、プログラムはそれらのアップデートとしてインストールされます。同時に、脆弱性 EvilParcel が、ユーザーの操作なしにインストールを行うことを可能にします。その結果、感染したソフトウェアは正常な動作を続けますが、その中には Android.InfectionAds.1 の機能するコピーが含まれています。アプリを感染させると、トロイの木馬はそれらのデータにアクセスします。たとえば、 WhatsAppを感染させた場合、トロイの木馬はユーザーのすべてのメッセージにアクセスし、ブラウザを感染させた場合は保存されたログインとパスワードを入手します。

このトロイの木馬を削除し、感染したプログラムのセキュリティを回復させる唯一の方法は、トロイの木馬を含んでいるアプリケーションを削除し、Google Playなどの信頼できるソースから正常なバージョンを再インストールすることです。Dr.Web Security Space for Androidのアップデートされたバージョンでは脆弱性 EvilParcel を検出することができます（この機能は Security Auditor に含まれています）。新しいディストリビューションファイルはDoctor Webの公式サイトからダウンロードすることができます。まもなくGoogle Playからも提供を開始する予定です。Android向けのDr. Web製品はすべて、 Android.InfectionAds.1 の既知の亜種を検出・駆除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

[Android.InfectionAds.1の詳細(英語)]

[EvilParcelの詳細(英語)]

[Janusの詳細(英語)]

#Android #trojan #malware