2021年4月12日
株式会社Doctor Web Pacific
APKPureはAndroid用のゲームやアプリを配信する、古くからある極めて人気の高いサードパーティアプリストアの一つです。一部のAndroidユーザーはAndroidの公式アプリストアであるGoogle Playの代わりにAPKPureを使用しています。Doctor Webのスペシャリストによる分析の結果、今回発見されたトロイの木馬は本記事掲載時点で最新版であるAPKPureクライアントのバージョン3.17.18から組み込まれ、APKPureの公式サイトから拡散されていたことが明らかになりました。このアプリは有効な開発者の署名を持っています。このことは、トロイの木馬が内部関係者によって意図的に埋め込まれたか、あるいはハッキングによって攻撃者がアプリストア開発者の内部リソースにアクセスしたことを示唆しています。ハッキングの可能性はドイツの通信機器メーカーGigasetで同様の事例が発生したという事実によって裏付けられています。同社によると、攻撃者が更新サーバーの一つにアクセスし、その後GigasetのAndroidスマートフォンの一部のモデルで、APKpureアプリ内に組み込まれていた悪意のあるコードに関連したトロイの木馬のダウンロード・インストールが自動的に開始されたということです。
Doctor WebがAPKPureクライアントの悪意のあるバージョンに関する最初のデータを受け取ったのは3月25日で、その後トロイの木馬のコードにはわずかな変更が加えられましたが、そのメインとなる機能は変更されていません。このマルウェアの現在のバージョンはDr.Webアンチウイルスによって Android.Triada.4912 として検出されます。
このトロイの木馬は、ユーザーの許可なしにソフトウェアをダウンロード・インストールできる危険なマルウェア Android.Triada ファミリーに属しています。今回のケースでは、このトロイの木馬は感染の最初の段階での役割を担っています。このトロイの木馬のコードには同じファミリーに属するまた別のトロイの木馬 Android.Triada.566.origin が暗号化された形で潜んでおり、この Android.Triada.566.origin がメインとなる悪意のある動作を実行します。復号化されて実行されると、このコンポーネントはデフォルトのブラウザでさまざまなWebサイトを開きます。これらのサイトは広告を含んだサイトやフィッシングサイトである場合があります。さらに、他の悪意のあるモジュールやさまざまなアプリをダウンロードして実行します。これにより、サイバー犯罪者はインストール数に応じた報酬や広告による報酬を不正に得ることができます。
Doctor Webでは発見された脅威についてAPKPureに報告を行いました。APKPure アプリをインストールしているAndroidユーザーの方は、トロイの木馬を取り除くために一時的にそれをアンインストールすることを推奨します。また、他のAndroidサードパーティアプリストアを利用する際も十分に注意するようにしてください。
Android 向けDr.Webアンチウイルス製品は、今回発見されたものを含む Android.Triada トロイの木馬の既知の亜種を検出・削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Doctor Webでは、引き続きこれらトロイの木馬に関する分析を継続してまいります。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments