2015年11月20日 12時30分 ソフトウェア

不正アプリのインストールをユーザーが拒んでも無理矢理インストールする極悪マルウェアが登場

By frankieleon



すでに発見されていた削除不能なマルウェア「Shuanet」「Kemoge(ShiftyBug)」「Shedun」に、不正なアプリを自動でインストールする機能があり、たとえ不正アプリのインストールをユーザーが拒んでも、勝手にインストール作業を敢行できるという恐るべき能力があることが分かりました。なお、この極悪マルウェアはセキュリティ専門家から「感染したら最後、スマートフォンを買い換えるのが賢明」と評価されています。



Trojanized adware family abuses accessibility service to install whatever apps it wants | Lookout Blog

https://blog.lookout.com/blog/2015/11/19/shedun-trojanized-adware/



This Android malware is so bad, you might be better off buying a new phone

http://mashable.com/2015/11/06/android-malware-auto-rooting/#oGNBzkwxXGqk



これまでにも銀行の口座番号を盗み出すマルウェアや「データを返して欲しければ金をよこせ」と脅迫するランサムウェアなど数多く凶悪なマルウェアが登場してきましたが、マルウェア自体は駆除可能なものでした。しかし、セキュリティ対策会社Lookoutが発見した「Shedun」「Shuanet」「ShiftyBug」という3種類のマルウェアは、端末をファクトリーリセットしても駆除できないことが分かりました。



ルート奪取＆削除不能のAndroid向け極悪アドウェアがTwitterやFacebookの偽アプリを介して感染拡大 - GIGAZINE





これらのマルウェアは一度端末に感染すると、ルート権限を取得して自身をシステムレベルのサービスとして埋め込むとのこと。その後、FacebookやTwitter、WatsAppなどの人気アプリ内に侵入しますが、仮にそれらのアプリをアンインストールして再インストールしたとしても、マルウェアは機能の大部分が無傷のままであるそうです。



これらの極悪マルウェアはユーザーに無断でアドウェアをインストールしてポップアップ広告を表示させたり、他のマルウェアを無断でインストールしたりできる機能を備えています。また、極悪マルウェアはシステムレベルに不正にアクセスできることから、セキュリティ・プライバシーの両面で危険性があると指摘されていました。





そして、このマルウェアには、ユーザーがアプリのインストールを拒否しても、勝手にインストールを実行してしまう能力を持つことが判明。以下のムービーでは、マルウェアShedunに感染した端末では、不正アプリのインストーラーをユーザーが閉じても、自動的にインストール作業が行われる様子が映し出されています。



Shedun taking advantage of accessibility service - YouTube





「DollarMobi」というアプリのインストール画面。インストールする場合は画面下の「Install Now」をタップすることになります。





インストールしないことに決めたユーザーが、画面の「×」をタップしてインストーラー画面を消去したところ……





なぜか「Start to download apps(DollarMobi)」という表示。





ダウンロードが完了して、アプリのインストール画面が現れました。もちろんユーザーは操作をしていません。





「カリカリ」という不気味な音をたてながら、画面の承諾文を下方向にスクロールさせて、インストールの可否を問うところまでやってきました。「Cancel」を押せばインストール作業は中止、「Install」を押せばインストール敢行という状況。





ユーザーに「Cancel」を選ぶ時間も与えずに、インストール開始。





インストール完了。





「DollarMobi」アプリが起動しました。





これらの極悪マルウェアはGoogle Playストアではないサードパーティ製のアプリストアを通じて広まっていて、すでに2万個を超えるアプリに潜んでいることが確認されています。Lookoutによると感染例は、アメリカ、ドイツ、イラン、ロシア、インド、ジャマイカ、スーダン、ブラジル、メキシコ、インドネシアで見つかっているとのこと。Androidスマートフォンユーザーは、サードパーティのアプリストアを避け、Google Playストアのみ使用するのが最善の予防作である、とLookoutは結論づけています。

