| 研究者 2016年7月22日


2016年7月22日

自動ルート化マルウェア「LevelDropper」を検出、Google Playから削除

By Colin Streicher

3505700025_887f7581a5_z Google Playで新たに悪質アプリ「LevelDropper」がLookoutにより検出されました。今回のような自動ルート化マルウェアは新たに台頭したモバイル脅威の傾向として、今後も続いていくと考えられます。
このアプリはLookoutが先週検出し、すでにGoogleとの連携によってGoogle Playから削除されています。またLookoutのユーザーはすべて保護されます。
LevelDropperは一見、ツールボックスを物理的に操作する必要のない単純なアプリです。しかしさらに分析を続けると悪意ある振る舞いが隠されていることが明らかになりました。「自動ルート化マルウェア」というカテゴリ名が示す通り、このモバイルマルウェアはユーザーに気付かれずに端末をルート化し、高度なアクセス権なしには実行できない操作におよびます。今回の場合、LevelDropperは水面下で端末をルート化した上で、新たな、しかも多数のアプリを攻撃対象の端末にインストールさせています。
LevelDropperの詳細分析
LevelDropperの実行を開始するとすぐに位置情報サービスの画面が空白で表示されました。これは潜在的なクラッシュである場合が多く、悪用されるとアクセス権の昇格を許してしまう非常に危険な状態を示しています。その後すぐに、それまで端末にインストールされていなかったアプリが徐々に現われ始めます。他のアプリのインストールをユーザーに促さないことから、このアプリはルート権限を取得していると考えるのが普通です。アプリがパッケージマネージャへのルート権限を取得していない限り、アプリが他のアプリをダウンロード、インストールするにはユーザーの操作が必ず介在するためです。
以下のスクリーンショットはLevelDropperのインストールと実行の様子です。スクリーンショットの撮影時にインストールされたアプリはわずか2件でしたが、実行時間が長くなるにつれさらに多くのアプリがインストールされました。30分間で実に14件ものアプリがダウンロードされ、しかもその間ユーザーの操作が求められることは全くありませんでした。 Screen Shot 2016-07-22 at 4.26.40 PM Screen Shot 2016-07-22 at 4.26.46 PM Screen Shot 2016-07-22 at 4.26.51 PM Screen Shot 2016-07-22 at 4.26.58 PM
ルート化を気づかれないうちに実行
私たちはこの悪質アプリがルート権限を取得した上でユーザーの同意を得ずに他のアプリをインストールしていると考えていました。端末をルート化すると/systemのディレクトリに一定の現象が現れるはずですが、今回はそれが検知されていません。通常はSUバイナリがインストールされ、その後systemのinstall-recoveryのスクリプトが書き換えられてアップグレード後もルート権限を維持できるようにします。
今回はどちらの現象も検知されませんでした。わかったことはシステムパーティションが書き込み可能な状態であったこと(通常、製造時には改変を防ぐために読み出し専用モードが設定されています)だけでした。その他の痕跡はすべて削除されたと私たちは見ています。
その他の分析結果
パッケージ内のバイナリファイルを分析すると、権限昇格型のエクスプロイト2件の他、SuperSUやbusybox、supolicyなどの補助パッケージファイルが検出されました。いずれのエクスプロイトも、ルート権限の取得方法として一般に公開されている概念実証コードを使用しているようです。
この悪質アプリには他にもAPKファイルが含まれており、ルート権限を悪用して容易に解除のできない煩わしい広告を表示することが判明しています。
ルート化マルウェアが新たなトレンドとして台頭
Lookoutが最近検出したマルウェアファミリーは端末のルート化を自動的に実行する能力も持ち合わせていますが、こうしたマルウェアはさらに巧妙化し長期化する可能性を帯びています。
昨年11月、LookoutはShiftyBug、ShuanetおよびShedunに関する情報を発表しましたが、これらも自動的に端末をルート化してアプリを追加インストールさせるものでした。類似の能力を持つBrain Testは1月に再出現しています。
現在のところ、このようなアプリは広告の収入拡大の手段として利用されているようです。類似の事例として開発者がアプリに自動ルート化機能を組み込んでアプリインストール数を増大させるケースが多発し、やはり知名度による評価の向上と広告収入の増大の手段となっています。Lookoutが今年初めに報告したBrain Testの亜種は不正アクセスした端末を悪用した実例で、同じ開発者が他の悪質アプリのダウンロード数を水増しし、不正に好意的なレビューをPlayストアに投稿していました。
LevelDropperの削除方法
LevelDropperに感染した場合、端末を工場出荷時状態にリセットすることでマルウェアの駆除が可能です。事前にセキュリティアプリをインストールしておけば、悪質アプリをインストールしないよう警告してくれるので感染防止に役立ちます。
イメージ出典:aaronHwarren/Flickr

投稿者

Colin Streicher

コメントする

送信


0 コメント