2024年5月7日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、ユーザーの気づかぬうちに広告サイトを開いてページ上でクリックするクリッカー型トロイの木馬の潜んだAndroidアプリケーションを発見しました。このようなトロイの木馬は密かに広告を表示させたり、クリック数を稼いだり、ユーザーを有料サービスに登録したり、 DDoS攻撃を実行したりするために使用されます。

Android向けアンチウイルスDr.Web for Androidには、動作解析に基づいて脅威を検出するテクノロジーOrigins Tracing™が十年以上も前から実装されています。この度、Google Playからダウンロードされたアプリ「Love Spouse」内に潜んだ不審なコンポーネントを検知し、ユーザーのデバイスを感染から守ったのがこのOrigins Tracing™でした。「Love Spouse」アプリはアダルトグッズをコントロールするためのものですが、標準デバッグコンポーネントcom.android.logcatchライブラリに偽装したクリッカー型トロイの木馬 Android.Click.414.origin が含まれていました。このトロイの木馬は「Love Spouse」のほかに、身体活動を追跡するアプリ「QRunning」でも検出されています。いずれも中国企業によって開発されたもので、合計で150万台を超えるデバイスにインストールされている極めて人気のあるアプリです。悪意のあるコードは最近、すなわちアプリの最新の数バージョン前から組み込まれ始めたものとみられます。現在、「Love Spouse」はバージョン1.8.8にアップデートされており、このバージョンにはトロイの木馬は含まれていません。一方、「QRunning」の修正アップデートは未だリリースされていない状況です。

アプリ 「Love Spouse」と「QRunning」

このマルウェアは昨年4月に検出されたトロイの木馬 Android.Click.410.origin の亜種です。TVボックス「V88mini」のシステムパーティションでアンチウイルスによって新しいファイルが検出されたというユーザーからの連絡がDoctor Webのウイルスラボに寄せられ、それがダウンローダー Android.Click.410.origin でした。どのように感染が起こったのかについて確実な情報は得られませんでしたが、このデバイスにインストールされていたOSは主張されていたものとは異なるものであったという点が目を引きます。製品カードとシステム情報ページには、このTVボックスにはAndroid 12が搭載されていると記載されていましたが、OSビルド固有の識別子であるビルドIDはAndroid 7のものでした。残念ながら、低価格帯のAndroid TVボックスではこのようなケースが珍しくありません。それを証明するかのように、続けて別のユーザーからも問い合わせがあり、TVボックス「X96Q」で同じトロイの木馬 Android.Click.410.origin とOSスプーフィング手法が確認されました。このケースでは、トロイの木馬はアプリ「Desk Clock」に組み込まれていました。

トロイの木馬が検出されたTVボックス。これらのデバイスがいかに大きな脅威となりうるかについてはこちらの記事をご覧ください。

詳細な分析の結果、このトロイの木馬はモジュラー型構造であることが明らかになりました。モジュールの1つはデバイスに関する情報を収集し、残り2つのモジュールは密かにWebページを開き、広告を表示させてクリックを実行します。このトロイの木馬はホストアプリケーションが制御された環境で実行されていることを検知することもできます。エミュレーション環境であることを示すサインを検知した場合は、広告を表示させるタスクを送信しないようC2サーバーに指示します。また、特定のユーザーは標的から外れており、インターフェース言語が中国語に設定されているデバイス上では起動されることすらないという点も特徴的です。

起動された場合、このトロイの木馬はデバイスに関する極めて詳細な情報(ブランド、モデル、OSバージョン、IPアドレス、設定で選択された地域、キャリアコードなど)をC2サーバーに送信します。次に、組み込まれた2つの戦略のうち1つをアクティベートしますが、そのタスクの一部として、Android OSに含まれるWebViewコンポーネントを使用して密かにWebサイトを開きます。このコンポーネントはブラウザを起動せずにWebページを開くことを可能にするものです。このトロイの木馬はWebページをスクロールしたり、フォームにテキストを入力したり、開いたサイトで音声や動画ファイルが再生されている場合に音声をミュートにしたりすることができます。これらのアクションを実行するために、目的の広告ページが開かれているWebView内でC2サーバーから受け取ったJavaScriptコードを実行します。また、表示されているページのスクリーンショットを撮影してサーバーに送信し、ピクセル単位で分析してクリック可能な領域を特定することもできます。そのほか、また別のタスクとして、Bing、Yahoo、Google検索エンジンを使用してキーワードに基づいて広告リンクを提示します。

当初、このトロイの木馬は非公式Androidアプリストアで入手可能なアプリ内で検出されていましたが、2024年2月に公式ストアのGoogle Playにも侵入を果たしています。「Love Spouse」のバージョン1.8.1には未だトロイの木馬は含まれておらず、それよりも後にリリースされたバージョンのどこかで侵害された可能性が高いとみられます。

Doctor Webのユーザーからアプリにトロイの木馬が含まれていると知らされて驚く「Love Spouse」の販売元。「信頼性の高いアンチウイルス」を使用するよう勧めています。

お使いのデバイスにソフトウェアをインストールする際は十分に注意するようにしてください。Dr.Web Security Space for AndroidはAndroid.Clickトロイの木馬を検出・駆除し、デバイスをマルウェアから保護します。

Indicators of compromise(侵害の痕跡)※英語