Kaspersky Labリサーチャーのニキータ・ブーチュカ氏は、8月に発見されたモバイルバンキング型トロイの木馬の亜種「Svpeng」について、感染経路と侵入の手口を解明したことをセキュリティ関連ブログで公表した。

Svpengは、ロシア語圏を主な攻撃対象に「Google Chrome for Android」のバグを悪用して侵入し、Android端末内の銀行口座情報や通話履歴、SMSやMMS、ブラウザーのブックマーク、連絡先などを窃取するトロイの木馬。7月中旬から現在までに累計31万8000台、1日あたりの最大では3万7000台のAndroid端末で検知されているという。

7月中旬に起きたロシアのオンラインメディアに対する攻撃が最初の事例で、その時点はGoogle AdSenseで配信され、Svpengが仕込まれたAPKファイルをダウンロードさせる広告だったことを解明した。

この広告はマルウェアに感染していないウェブサイトに通常通り表示されており、Google Chrome for Androidで広告を読み込むと、Android端末のSDカードにSvpengを仕込んだAPKファイルが自動的にダウンロードされていたという。外部リンクからAPKファイルをダウンロードを試みる際には、通常はブラウザーに「危険性のあるオブジェクトがダウンロードされる」との警告が表示される。しかし、今回のケースでは、Google Chrome for Androidのバグを悪用することで、通知を表示せずにSvpengが仕込まれたAPKファイルのダウンロードが可能になっていたという。

ダウンロードされたAPKファイルは、重要なブラウザーの更新や、一般的なアプリケーションになりすますことで、ユーザーにインストールを承認させていた。インストールされたSvpengは、デバイス管理者の権限を要求するが、インストール済みアプリの一覧には表示されないため、ユーザーに気付きにくくさせていた。

ニキータ・ブーチュカ氏はブログで、「Svpengのケースで、サイバー攻撃からユーザーを保護するという目標を企業間で共有し、協力することの重要性が裏付けられた。今回、Androidエコシステムの安全化に協力することができ光栄に感じるとともに、我々の報告に対するGoogleの素早い対応に感謝している。ユーザー側でできる対策としては、信頼できない情報源からはアプリケーションをダウンロードせず、アプリが要求する権限やその要求の妥当性を理解し、必要性を判断することが大事だ」と述べている。

Kaspersky Labは、このバグについてGoogleに報告を行っており、Google Chrome for Androidの次回の更新で、このバグが修正される予定とのこと。

Kaspersky Labでは、Svpengは配信方法が特殊で、Google AdSenceを利用して広告を表示している世界中の何百万ものウェブページがリスクにさらされており、全世界に拡散する恐れもあるとしている。

なお、ダウンロードされるAPKファイル名のうち、現在のところ判明しているものが以下となる。

・last-browser-update.apk

・WhatsApp.apk

・Google_Play.apk

・2GIS.apk

・Viber.apk

・DrugVokrug.apk

・Instagram.apk

・VKontakte.apk

・minecraftPE.apk

・Skype.apk

・Android_3D_Accelerate.apk.

・SpeedBoosterAndr6.0.apk

・new-android-browser.apk

・AndroidHDSpeedUp.apk

・Android_update_6.apk

・WEB-HD-VIDEO-Player.apk

・Asphalt_7_Heat.apk

・CHEAT.apk

・Root_Uninstaller.apk

・Mobogenie.apk

・Chrome_update.apk

・Trial_Xtreme.apk

・Cut_the_Rope_2.apk

・Установка.apk

・Temple_Run.apk