2019年3月27日

株式会社Doctor Web Pacific

Doctor Webのマルウェアアナリストは、人気のUC Browser内に隠された機能が潜んでいることを発見しました。モバイルデバイス上に疑わしいコードをダウンロードし、それを実行するというものです。このアプリケーションはGoogle Playサーバーを迂回して補助ソフトウェアモジュールをダウンロードすることができます。悪意のあるものを含むあらゆるコードをAndroidデバイスにダウンロードすることが可能であることから、これはGoogle社のルールに違反するものとなり、深刻な脅威であるといえます。

現時点で、UC Browserは5億人を超えるGoogle Playユーザーによってダウンロードされています。このソフトウェアをインストールしたユーザーは誰でも危険にさらされる可能性があります。Doctor Webはこの度、UC Browserにはインターネットから補助コンポーネントをダウンロードする隠れた機能が存在するということを発見しました。このブラウザはC&Cサーバーからコマンドを受け取り、新しいライブラリやモジュールをダウンロードします。これらのライブラリやモジュールは新しい機能を追加したりフトウェアを更新したりすることができます。

たとえば、Doctor Webによる調査中に、UC Browserは実行可能なLinuxライブラリをリモートサーバーからダウンロードしています。このライブラリはMS OfficeドキュメントやPDFファイルで使用できるよう設計されており、悪意のあるものではありませんが、元々ブラウザには含まれていなかったものです。ダウンロード後、プログラムはライブラリをディレクトリに保存し、起動させます。このように、このアプリケーションは実際にGoogle Playサーバーを迂回してコードを受け取り、実行することが可能です。これはGoogle Playストアから配信されるソフトウェアに適用されるGoogleのルールに違反するものです。現行のポリシーでは、Google Playからダウンロードされるアプリケーションは、そのコードを変更してはならず、また、サードパーティソースからいかなるソフトウェアコンポーネントもダウンロードしてはならないとされています。これらのルールは悪意のあるプラグインをダウンロード・起動するモジュラー型トロイの木馬の拡散を防ぐためのもので、そのようなトロイの木馬にはDoctor Webによってそれぞれ2018年の1月と4月に報告された Android.RemoteCode.127.origin や Android.RemoteCode.152.origin があります。

少なくとも2016年から、UC Browserには潜在的に危険な更新機能が備わっています。このアプリケーションはトロイの木馬や不要なプログラムを拡散しているわけではありませんが、新しい未検証モジュールをロードして起動することのできる機能は脅威となる危険性をはらんでいます。サイバー犯罪者がこのブラウザの開発者のサーバーにアクセスし、更新機能を利用して何億ものAndroidデバイスを感染させることがないとは言い切れきません。

UC Browserの脆弱な機能は中間者攻撃（MITM）の実行に利用される可能性があります。新しいプラグインをダウンロードするために、このブラウザはC&Cサーバーにリクエストを送信し、応答としてファイルへのリンクを受け取ります。サーバーとの通信は安全でないチャンネル（暗号化されたHTTPSではなくHTTPプロトコル）を介して行われるため、サイバー犯罪者はこのリクエストを横取りすることができます。犯罪者はコマンドを別のアドレスを含むものに置き換え、その結果、ブラウザはC&Cサーバーではなく悪意のあるページからモジュールをダウンロードしてしまいます。UC Browserは未署名のプラグインを使用しているため、悪意のあるモジュールは検証なしに起動されます。

以下は、Doctor Webのウイルスアナリストによってモデル化された、そのような攻撃の例です。動画では、被害者となるユーザーがUC Browser経由でPDFドキュメントをダウンロードし、それを表示しようとしています。ファイルを開くために、ブラウザは該当するプラグインをC&Cサーバーからダウンロードしようとします。ところが、MITMによる置き換えのために、ブラウザは別のライブラリをダウンロードし、起動してしまいます。続けて、このライブラリが「PWNED!」というメッセージを作成します。

このように、MITM攻撃はサイバー犯罪者がUC Browserを利用して、幅広いアクションを実行する悪意のあるプラグインを拡散させることを可能にします。たとえば、フィッシングメッセージを表示させることでユーザー名やパスワード、クレジットカードの詳細やその他の個人情報を盗むことができます。また、トロイの木馬モジュールは保護されたブラウザファイルにアクセスし、プログラムディレクトリ内に保存されたパスワードを盗むことができるようになります。

この脆弱性に関する詳細はこちらをご覧ください。

このブラウザの「弟分」的なUC Browser Miniアプリケーションもまた、Google Playサーバーを迂回して未検証コンポーネントをダウンロードすることができます。この機能は2017年11月から実装されており、現在までにUC Browser Miniをダウンロードしている1億人のGoogle Playユーザーを危険にさらしています。ただし、UC Browserの場合と異なり、UC Browser Miniでは前述のMITM攻撃を実行することはできません。

Doctor Webでは、UC BrowserとUC Browser Miniに酷む危険な機能について両ブラウザの開発者に連絡を取りましたが、回答はもらえませんでした。そこで、この問題についてGoogle社に報告を行いましたが、本記事掲載時点でどちらのブラウザも入手可能な状態であり、Google Playサーバーを迂回して新しいコンポーネントをダウンロードできる機能もそのままとなっています。Androidデバイスユーザーの方は、これらのプログラムを使用し続けるか、あるいは一旦削除して、潜在的脆弱性が修正されたアップデートがリリースされるまで待つかをご自身で決定する必要があります。

Doctor Webでは、今後も状況について引き続き監視を行っていきます。