44
自動ルート化マルウェア「LevelDropper」がAndroid端末にアプリを密かにインストール

Lookout のセキュリティ研究者は、デバイスを自動ルート化して悪意のあるアプリケーションをインストールできるマルウェアを Google Play ストアで発見しました。

「LevelDropper」と呼ばれるこの新しいマルウェアは、「自動ルート化」マルウェアの一種で、ユーザーのデバイスに密かにインストールされ、より高い権限でのみ可能なアクションを実行し、実質的にAndroidのセキュリティ保護の多くを回避します。

Google は、サーバー側の「Bouncer」やクライアント側の「Verify Apps」ソリューションなどのマルウェア対策スキャン ソリューション、および Android システムのさまざまなコンポーネントを分離するサンドボックス ソリューションにより、Android ユーザーに危害を及ぼすマルウェアの大部分を阻止できます。

しかし、高度な攻撃者はこれらの解決策を回避する方法を見つける可能性があり、Googleが新たな悪意あるアプリを発見するまでには時間がかかる可能性があります。その間に、これらのアプリはPlayストアなどからインストールしたAndroidユーザーから情報を盗むことができるようになります。多くのユーザーに影響を与える前に、この新たなマルウェアをできるだけ早く発見するのは、Google自身、あるいは今回のLookoutのようなサードパーティの役割です。

LevelDropperの仕組み

Lookoutの研究者は、LevelDropperマルウェアのインストール後、LocationServicesウィンドウが空白になっていることに気づきました。これは通常、クラッシュの兆候であり、権限昇格に利用される可能性があります。

その後まもなく、研究者たちはテスト対象のスマートフォンに新しいアプリが現れ始めたのを確認しました。アプリはインストールを促すメッセージを表示することなく、バックグラウンドで静かにインストールされました。Lookoutは、これはアプリがルート権限を持っていたことを示していると述べています。ルート権限は、ユーザーの操作なしにアプリをインストールできる唯一の方法です。

Lookout のセキュリティ研究者は、30 分の間に 14 個のアプリケーションがデバイスにダウンロードされインストールされたが、いずれもユーザーの操作を必要としないことを発見しました。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

研究者らは、デバイスがルート化された典型的な兆候、例えばスーパーユーザーバイナリや、ルート権限がアップグレード後も維持されるよう書き換えられた「install-system-directory」スクリプトなどは発見しなかった。唯一の証拠は、書き込み可能なシステムパーティションの存在であり、これは悪意のあるアプリケーションによる改変を防ぐため、通常は読み取り専用モードでマウントされている。

LevelDropper パッケージには、権限昇格エクスプロイト 2 件に加え、SuperSU、busybox、supolicy ツールなど、デバイスのルート化によく使用されるツールが含まれていました。また、このパッケージには、ルート権限を利用して簡単にブロックできない目障りな広告を表示する追加の Android APK ファイルも含まれていました。

自動ルート化マルウェアの台頭

PC(およびAndroid)におけるランサムウェアの増加と同様に、この新しい自動ルート化Androidマルウェアファミリーの主な目的は、マルウェア作成者の収益を生み出すことにあるようです。通常、この種のマルウェアは、ユーザーのデバイスに広告を表示したり、アプリケーションをインストールしたりするために利用されます。これらのアプリケーションのインストール費用は、インストール数に基づいてアフィリエイトプログラムを通じてアプリ開発者から支払われる可能性が高いです。一部の自動ルート化マルウェアは、Playストアで他の悪意のあるアプリケーションの偽の肯定的なレビューを書くためにも利用されます。

デバイスからLevelDropperマルウェアを削除する唯一の方法は、工場出荷時設定にリセットすることです。Lookoutは先週このマルウェアを発見し、Googleと協力してPlayストアからLevelDropperを禁止しました。そのため、他のデバイスが感染する可能性は低いでしょう。しかし、少なくともAndroidがデバイスのルート化をさらに困難にする新たな保護機能を導入するまでは、他の自動ルート化マルウェアの脅威は続く可能性が高いでしょう。

また、Google や Android OEM が、ユーザーが標準のオペレーティング システムを安全に置き換えることができるメカニズムを Android デバイスに特別に組み込まない限り、ユーザーがデバイスにカスタム ROM をインストールする可能性が低くなるというマイナス面もあります。

ルシアン・アルマスはTom's Hardwareの寄稿ライターです。  @lucian_armasuでフォローできます 

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Tips
Posted by Lorlink