2020年12月2日

株式会社Doctor Web Pacific

Doctor WebのマルウェアアナリストはAndroidユーザーのアイケア (Eye care) 用アプリケーションにトロイの木馬が含まれていることを発見しました。実際にアプリとして機能する以外に、このアプリケーションはリンクをたどってWebサイトを開き、他のアプリのウィンドウ前面に表示するなどといった悪意のある動作も実行します。

このアプリケーション『Eye Care - Your close Eye Care Assistant』は2018年からGoogle Playで配信されていますが、トロイの木馬の機能は2019年にバージョン1.2.11から追加されるようになりました。悪意のあるバージョンのこのアプリは Android.Mixi.44.origin としてDr.Webのウイルスデータベースに追加されています。

このアプリは一見無害であり、ユーザーの期待通りに動作しているように見えますが、起動後は密かに悪意のある機能を実行します。

Android.Mixi.44.origin は感染したデバイスに関する以下の情報を収集してC&Cサーバーに送信します。

• トロイの木馬によって生成された一意のユーザーID
• 一意のデバイスID
• Google広告ID
• OSバージョン
• トロイの木馬が含まれているアプリのバージョン
• デバイスにインストールされているPlay ストア アプリのバージョン
• WebViewエンジンのバージョン

このトロイの木馬の機能の一つは、ユーザーによるアプリのインストールから不正な収益を得ることです。そのために Android.Mixi.44.origin はユーザーによるアプリのインストールとアンインストールを常にモニタリングし、それらの操作に関する情報をすべて記録します。

C&Cサーバーに接続すると、 Android.Mixi.44.origin はURLのリストを受け取り、数秒間隔でそれらのサイトを一つずつ非表示のWebViewに密かにロードします。リダイレクトチェーンの結果、Google Play上のアプリのページにたどり着き、そのアプリが未だデバイスにインストールされていなかった場合、トロイの木馬はアプリのパケット名とアプリへのリンクがロードされた時間を記憶します。その後はユーザーがそのアプリをインストールする時が来るのを待つだけです。運よくユーザーがそのようなアプリをインストールした場合、 Android.Mixi.44.origin はそのインストールを検知し、アプリ名とサイバー犯罪者の参照IDを広告分析サービスに送信します。そして、広告タスクが完了したことが広告分析サービスによって確認されます。こうしてトロイの木馬は広告分析サービスを騙し、サイバー犯罪者はユーザーによるインストールを自分の手柄にすることができます。

リンク先がGoogle Play上のアプリのページで、そのアプリがすでにインストールされており、トロイの木馬がそのアプリに関する情報を持っている場合も、 Android.Mixi.44.origin は同様にアプリ名とサイバー犯罪者の参照IDを送信して広告分析サービスを騙そうとします。

Android.Mixi.44.origin はクリッカーとしても機能します。C&Cサーバーから受け取ったリンクをたどってユーザーの同意なしに密かにさまざまなサイトを開き、それらサイトのアクセス数を増やすことでアフィリエイトサービスから報酬を得ます。

さらに、このトロイの木馬はC&Cサーバーから受け取ったコマンドに応じてさまざまなWebページを開き、それらを他のアプリのウィンドウやOSインターフェースの前面に表示させることができます。その際、数年前から知られている脆弱性 Toast Overlay （「Toast」機能を利用したオーバーレイ攻撃を容易に実行できるようにする脆弱性）を悪用します。バージョン7.1までのAndroid OSを搭載したデバイスが攻撃対象となります。 Android.Mixi.44.origin は他のグラフィック要素の前面に表示されるトースト通知を作成し、目的のWebページをロードしたWebViewをそこに挿入します。Webページの内容は広告バナーや動画、さらにはフィッシングサイトなどあらゆるものがあります。

したがって、 Android.Mixi.44.origin の主な機能は広告を表示させ、さまざまなWebサイトのアクセス数を人為的に増加させることであり、また、フィッシング攻撃に使用される可能性もあります。それと同時に、このトロイの木馬は幅広いタスクを実行する多機能マルウェアのファミリーに属しています。このファミリーに属する亜種はルート権限を取得したり、他のアプリを密かにインストール・アンインストールしたりすることができ、それ以外の危険な動作も実行することが可能です。今回、これらトロイの木馬のいくつかがAndroidデバイスのシステムディレクトリ内で発見されています。そのうちの一つである Android.Mixi.36.origin は、ダウンロードされたアプリを密かにインストールするために、潜在的に危険なツールである Tool.SilentInstaller.7.origin を使用します。システムディレクトリ内で発見されたトロイの木馬には、そのほかに Android.Mixi.44.origin の亜種である Android.Mixi.42.origin も含まれていました。このトロイの木馬も同様の機能を備えていますが、アプリケーションをダウンロードして密かに実行することもできます。

Android向けのDr.Webアンチウイルス製品は、 Android.Mixi.44.origin の既知の亜種と、このファミリーに属するその他のトロイの木馬をすべて検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。システムディレクトリからマルウェアを削除するには Dr.Web Security Space for Android とルートアクセスが必要です。 Dr.Web Security Space for Android を使用することで、お使いのデバイスが脆弱性「 Toast Overlay 」による危険にさらされているかどうかを確認することもできます。

Android.Mixi.44.origin に関する詳細(英語)

脆弱性「Toast Overlay」に関する詳細(英語)

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

• Android向けロシア初のアンチウイルス
• Google Playからのダウンロード数が、1.4億件を突破しました
• 個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード