セキュリティ企業のCheck Pointは、「Gooligan」と呼ばれるAndroidマルウェアキャンペーンを発見しました。このマルウェアは100万件のGoogleアカウントに影響を与えました。このマルウェアは感染したデバイスをルート化し、Google Play、Gmail、Googleフォト、Googleドキュメント、G Suite、Googleドライブなどのデータにアクセスするために使用できる認証トークンを盗みます。
Androidユーザーの74%がGooliganマルウェアの脅威にさらされている
Android 4(Jelly Bean、KitKat)および5.0(Lollipop)はGooliganマルウェアに対して脆弱であり、74%以上のAndroidデバイスが影響を受ける可能性があります。ただし、このマルウェアは主にサードパーティのアプリストアからダウンロードされたアプリを通じて拡散しているようです。
アプリをダウンロードするだけのユーザーは、ほとんどの場合安全であるはずですが、Googleは、Gooliganマルウェアに関連するアプリがPlayストアでもいくつか見つかったと述べています。Gooliganに感染したユーザーの多くはアジア(57%)に住んでおり、サードパーティストアからのアプリのインストールがより一般的です。感染したユーザーのうち、ヨーロッパのユーザーはわずか9%で、感染者の19%は南北アメリカ、15%はアフリカで発生しています。
Gooliganに感染したアプリケーションが数十件
チェック・ポイントの研究者は、マルウェアがプリロードされた数十種類のアプリケーションを特定しました。そのほとんどは、サードパーティのストアから無防備なユーザーによってダウンロードされたものですが、フィッシング詐欺キャンペーンでSMSメッセージ経由で送信されたものもありました。
このマルウェアファミリーは昨年、複数のセキュリティ企業によって初めて発見されました。その後、マルウェア作成者は活動を一時停止しましたが、今年の夏、Androidのシステムプロセスに悪意のあるコードを挿入できる新しいアーキテクチャを備えたマルウェアを再びリリースしました。
Check Pointによると、このアーキテクチャの変更は、不正な広告活動を通じてマルウェアキャンペーンの資金源となる可能性があるとのことです。マルウェアは、アプリケーションをインストールする広告のクリックを模倣し、マルウェアの作成者はそのインストールに対して広告ネットワークから報酬を受け取ることになります。Check Pointによると、Gooliganマルウェアキャンペーンは開始以来、200万以上のアプリケーションをインストールしています。
Googleの対応
チェック・ポイントは100万以上のGoogleアカウントがマルウェアの影響を受けたと発表しましたが、Googleはユーザーデータへのアクセスの証拠はないと主張しました。また、Googleは、このマルウェア攻撃の目的はユーザー情報の窃取ではなく、アプリのプロモーション(ひいては収益化)にあるようだと述べています。さらに、このマルウェアは特定のユーザーを標的にしているようには見えず、影響を受けたアカウントのうちG Suiteのエンタープライズ顧客はわずか0.1%だったと指摘しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Googleは、Gooliganによってユーザーのデバイスからインストールされたアプリを削除したと発表しました。Googleが持つあまり知られていない権限の一つは、ユーザーのデバイスからアプリを削除したりインストールしたりする権限です。Google NexusやPixelスマートフォン、あるいは他社製のAndroidスマートフォンなど、デバイスの種類を問わず、この権限はPlayサービスフレームワークによって付与されています。
Gooligan関連アプリもPlayストアから削除されました。同社はまた、複数のISPと協力し、マルウェアのインフラを遮断することで、ユーザーへの感染拡大を遅らせる取り組みを進めていると述べています。
緩和策はあるが、パッチはない
Googleは「Verify Apps」サービスをはじめとする様々なマルウェア対策を講じていますが、これらのソリューションは感染が始まってから使用されることが多く、感染を予防する手段としては利用されません。こうした感染は、多くのデバイスでパッチが適用されていない古いバージョンのAndroidに存在する、既存の既知の脆弱性によって発生する可能性があります。したがって、Androidマルウェアの大半は、Androidに健全なアップデートモデルが欠如していることが原因と考えられます。
アップデートされないデバイスについては、Googleは、将来のエクスプロイトによる被害を抑制できる新しいアプリおよびプロセスサンドボックスを導入するほか、既存のマルウェアを特定し、「Verify Apps」サービスを通じて他のデバイスへのインストールを阻止することで、脆弱性の抑制に努めるしかありません。これらの解決策は「十分」に見えるかもしれませんが、脆弱性は修正されないままです。つまり、Googleは、修正されていない脆弱性を悪用する新しい方法を見つけ続けるマルウェア作成者と、いたちごっこを繰り広げなければならないのです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
