Android端末にインストールされると自動的にroot権限を取得してトロイの木馬と化す進化型のアドウェアが、Facebookなどの正規アプリを装う手口で出回っているという。セキュリティ企業のLookoutが11月4日のブログで伝えた。

従来のアドウェアは広告をプッシュ配信する目的で使われていたが、ユーザーが削除すれば問題は解決されていた。しかしLookoutによると、今回見つかった進化型のアドウェアはroot権限を取得してシステムアプリケーションとして組み込まれ、インストールすると削除はほぼ不可能になる。

作者はGoogle Playで配信されている人気アプリをリパッケージして不正なコードを挿入し、サードパーティーのアプリストアで配信する手口を利用。Lookoutが確認したものだけでも、Facebook、Google Now、NYTimes、Okta、Twitter、Snapchat、WhatsAppなどの正規アプリを装った進化型アドウェアが、米国やドイツ、ロシアなどの国で2万本以上見つかったという。

root権限を利用されれば他のアプリなどのデータに無制限にアクセスされたり、他のマルウェアをインストールされたりする恐れがある。本来のアプリの機能は維持したままバックグラウンドで動作するため、ユーザーはだまされやすく、検出もされにくい。

Lookoutが確認した2万本以上のリパッケージアプリは主に、「Shuanet」「Kemoge」（別名ShiftyBug）「Shedun」（GhostPush）の3種類に分類できるという。同じコードを使い回していることなどから、互いに関連性があるとLookoutは推測する。

マルウェアの手口は今後さらに進化して、システムディレクトリでの読み取りや書き込みの権限を取得したり、不正な動作の痕跡を隠したりする機能の高度化が進むと同社は予想している。

Copyright © ITmedia, Inc. All Rights Reserved.