| 研究者 2016年7月28日


2016年7月28日

ポケモンGoの人気に乗じた新たな改ざんアプリが登場

By Andrew Blaich

android_catchem_400 アメリカのモバイルゲームでポケモンGoが大流行しているのはみなさんもご存知でしょう。しかしこのブームにファンが熱狂する一方で、この動きに便乗した攻撃者が多く現れていることも事実です。 Untitled ポケモンGoは配信開始当初からアクセス集中によるサーバーダウンが生じるほどの人気ですが、アプリがアクセス要求するデータの種類が多すぎることが報道で取り上げられるなど、プライバシー上の問題がいくつも懸念されています。それに加え、ポケモンGoを模倣したマルウェアや改ざんアプリも現れました。マルウェアについては最近のブログ投稿「Proofpoint社がAndroid版ポケモンGoの悪質アプリバージョンを検出」で報告されている通りです。私たちはポケモンGoについて現時点では検知されていない様々なカテゴリの改ざん版バージョンが他にもあり、今後もさらに増え続けると予測しています。
ポケモンGoを模倣した悪質アプリや改ざんアプリが続出
ポケモンGoは配信開始時期が地域で異なるため(アメリカで先行配信、日本では7月22日に配信開始)多くのユーザーがGoogle PlayやAppleのApp Store以外のソースからダウンロードしようとしています。Lookoutが世界各国のモバイルコードのデータセットを調査したところ、ポケモンGoを改造した悪質バージョンが他にも多数、公開されていることが判明しました。
マルウェアの制作者は元のポケモンGoアプリに悪意あるコードや広告コードを組み込んだ改造版を作成し、配布しています。また、ポケモンGO関連の非公式アプリがサードパーティーのアプリマーケットで配信されています。
Lookoutが行ったコード分析から、ポケモンGO関連の疑わしいアプリを次の5つのカテゴリで検知しました。 android-small1.トロイの木馬を埋め込み、再パッケージ化[Android]:ポケモンGoにトロイの木馬を埋め込み、再パッケージ化したバージョン。例:「SandroRat」(別名DroidJack)というRATを混入させたポケモンGoなど。 android-small2.アドウェアを埋め込み、再パッケージ化[Android]: ポケモンGoにアドウェアを埋め込み、再パッケージ化したバージョン。 android-small3. ポケモンの名称をつけただけの悪質アプリ[Android]:悪質アプリに「ポケモンGo」と同じパッケージ名がついています。ただしポケモンGOのコードは含まれておらず、予期せぬ振る舞い、または端末管理者権限の取得など悪意ある振る舞いを試みます。 android-small4. チート(インチキ)目的の再パッケージ化アプリ[Android]:LuckyPatcherなどのツールを使用して改造した、ポケモンGoの再パッケージ化バージョン。アプリ内課金を回避したり、位置情報を偽装するなどの目的に使用します。 apple-small5. チート目的の再パッケージ化アプリ[iOS]:iOS版ポケモンGoの再パッケージ化バージョン。ジェイルブレイク検知機能を無効化し、チート目的のツールを使用できる環境に変えます。(iOS向けサードパーティーアプリストアで検出)
アプリを使いたいユーザーに偽アプリであることを見破られないように、マルウェアの製作者が元のアプリを可能な限り転用する場合があります。カテゴリ1.と2.がそれに当てはまります。
カテゴリ3.は攻撃の種類としては興味深く、元のアプリと同じパッケージ名を使いながらそのコードは全く使用せず、悪事を働くことを目的としたケースです。こうした事例は以前にもありました。Lookoutは、複数のマルウェアファミリーがADP、Cisco、VMWareなどの有名モバイルアプリのパッケージ名を利用した事例を最近取り上げたばかりです。
カテゴリ4.と5.のアプリは別の意味で「悪質」です。この2つのカテゴリのアプリはエンドユーザーにしてみれば悪質というわけではないものの、本物のポケモンGoアプリの制作会社にとっては悪質です。こうした改ざんアプリはユーザーがゲームを有利に運ぶこと(つまりチート)を目的としており、ユーザーをトロイの木馬に感染させたり、アドウェアを埋め込んで広告収入を狙うケースとは性質が異なります。今回検出したアプリは上記に挙げたiOSアプリの場合のように、ルート化またはジェイルブレイク検知を回避し、位置情報を偽装することなどを目的としていました。
さらに様々なAndroidアプリツールが配信されたこともわかっています。ゲームアイテムの入手にはゲーム内通貨(ポケコイン)の購入が必要ですが、アプリのツールを使用するとゲーム内で課金されずにポケコインが入手できるほか、GPS位置情報を偽装して実際には行っていない場所でゲームのプレイができるようになります。
モバイル端末を安全に守るには
今後も攻撃者はAndroid、iOSを共に標的としてポケモンGoの悪質アプリや改ざん版を新たに公開していくと考えられます。特に、ゲームが展開していくにつれ、レアポケモンを求めて遠出をするようになったり、ゲームで実際に金銭を支払うようになればますますこの可能性は高くなるはずです。さらに、改ざん版アプリでプレイするユーザーの他にも、チート目的でルート化もしくはジェイルブレイクした端末やエミュレータを使用し、公式ポケモンGoアプリを大幅に改造するユーザーも現れるでしょう。
安全がきちんと確保されたポケモンGoを使用するために、ポケモンGoのダウンロード元はGoogle PlayまたはiOS App Storeのみとしましょう。
Androidユーザーの場合は「不明なソース」は端末設定で無効にしてください。これにより非公式のアプリストアソースからのダウンロード「サイドローディング」を防止できます。
iOSユーザーの場合は不明な開発者証明書に十分注意を払ってください。こうした証明書を信頼したためにサードパーティーアプリがiOS端末にダウンロードされる事態が発生しています。
悪質なポケモンGoアプリをダウンロードした疑いがある場合は、Lookoutのようなセキュリティアプリをダウンロードして、アプリの検査および安全性のチェックをお勧めします。Lookoutは悪質アプリを検知すると警告を表示します。
企業が業務のために配布しているモバイル端末に、このゲームをダウンロードする社員がいるかもしれません。業務で利用するモバイル端末は機密事項を扱う事が多く、注意が必要です。以下の動画では業務利用のモバイル端末を安全に保つために何をすべきかを紹介しています。
ファイルハッシュ (トロイの木馬およびアドウェア)
  • 9b29ad3bea26a21160e8aa74a00e6901fc16da8e
  • f0405a3d6f6a2d1a635972efa6ae27d23e4a4a2a
  • b2fec52d6083e5fa9fb5703bedfb817aac2c46f1
  • 561ae708f234f46dbdca1d7f2a38d854d9bb60df
署名者のハッシュ値 (LuckyPatcher) LookoutがLuckyPatcherで改造したアプリを検出した場合、不正な署名者キーを持つアプリとして警告を発します。
  • 44c5e69d1723f6ea11e444ee6b0e31608a2b9f29

投稿者

Andrew Blaich,
脆弱性リサーチ マネージャ

コメントする

送信


0 コメント