| 研究者 2016年9月21日


2016年9月21日

Google Play で4つのスパイウェアを新たに発見。Lookoutの通告により削除される。

By Lookout

embassy Lookoutは法人向けソリューションのユーザと協力し、Google Playで公開されている4つのアプリにOverseerというスパイウェアが混入されていることを発見しました。そのうちのひとつは、海外にある大使館所在地を検索するアプリでした。本スパイウェアは、他にもロシアやヨーロッパのAndroidニュースアプリ内にトロイの木馬として混入されていました。
Lookoutの通告後、Googleはすぐにこれら4つのアプリをGoogle Playから削除しました。また、Lookoutを利用しているユーザーは、これらスパイウェアから安全に保護されています。
Overseerの亜種は、以下の情報を搾取することが可能です。
  • ユーザー情報(名前、電話番号、Eメール、コンタクトされた時間)
  • 侵害された端末のすべてのユーザーアカウント情報
  • ベースステーションID、緯度・経度などの位置情報、ネットワークID、ロケーションエリアコード
  • インストール済みのパッケージ名、それらパッケージのパーミッション情報、それらパッケージがサイドロードされたかの情報
  • 空きメモリ容量
  • 端末のIMEI, IMSI, MCC, MNC情報、端末の種類、ネットワークオペレーター、端末製造メーカー、デバイスID、デバイスモデル、Androidのバージョン、Android ID、SDKレベルおよびビルドユーザー
  • デバイスがルート化されているかどうか
攻撃の標的と攻撃手法
Overseerはいくつかの興味深い特徴があります。まず、このスパイウェアは海外にある大使館所在地を検索しようとしている海外旅行者を狙っています。例えば、海外出張中に大使館関連アプリをダウンロードし、Overseerの攻撃に合う可能性が考えられます。
そして、本スパイウェアのC&CサーバーはAmazon Web ServicesにホスティングされたFacebookのパースサーバーを利用している点です。FacebookやAmazonのサービスを使うことで、米国で広く利用されているクラウドサービスにホスティングされたC&CサーバーによるHTTPS通信を悪用できます。こうすることで、Overseerの通信トラフィックが目立つことなく、一般的なネットワークベースでのIDSソリューションからも見つかりづらくなるという特徴があります。
データ搾取
Overseerに感染した端末は、定期的にapi.parse.comドメインをチェックし、攻撃者が実行したいコマンドがないかを確認します。スパイウェアはコマンドに従って大量のデータを感染端末から搾取します。これら通信はすべて暗号化されており、ネットワークセキュリティソリューションで検知することが難しくなります。 embassycode
ニュースアプリにもスパイウェアが混入
Lookoutは、Google Playで公開されている他のアプリにもこのスパイウェアが混入していることを見つけました。それらの多くはニュースアプリで、ダウンロード数としてはそれほど多くなく、アプリレビューも偽装されているようでした。これらのことから、ホスティングされていたアプリはOverseer拡散のために作成されたことが伺えます。 embassynewsapp 以下のハッシュが含まれているアプリは、Overseerに汚染されている可能性があります。 7297578462bc15d5da80a2f4bc95b519cb241dd6 b7d3b2cc8cb629612f77e513825c10e18ff11ba7 c55c93185ecd4c6f67a1cbecfc721f702165c8f0 3ed6aa4b23d3f57d5477d0c0d1bfab58467118d8 5e2e212d56260520e64738f6e49d9d3af3931ded f8eac0c983d2c13683a88cd945a0e3f012172587 b6261f8dbf67ca71de0ca4d09e9cbbc66f82e1e0 8016b89849a188a045c91d0b20189309ff3642e4 465be5445f7a606e230e016f75d4b704e7affe07 8f7d2dc4d5628c55e135ec3805bad5a73d50e05b 07917353689e536bcce42e4bc1231ff74a273e31 96282b5a173cbd048c7da598f48160dde53a06ff

投稿者

Lookout

コメントする

送信


0 コメント