Android向けのオンラインバンキングトロイの木馬がPlayストアで配信!

セキュリティベンダーであるESETとAvast Software、SfyLabsは共同でAndroid向けアプリ配信マーケット「Google Playストア」にてトロイの木馬「Tornado Flash Light」が配信されていたことを11月21日(現地時間)に報告しました。

今回発見されたトロイの木馬は、オンラインバンキングを狙ったマルウェアで、すでにGoogle Playストアからは削除されていますが、感染してしまうとオンラインバンキングへログインするためのIDとパスワードが漏洩する恐れがあるとしています。

Android向けのオンラインバンキングを狙ったトロイの木馬は今までも複数報告されていましたが、今回発見されたマルウェアには少し変わった機能が実装されていました。

tornado-01
感染に至るまでの概要

このトロイの木馬は起動した直後には不審な動きを見せず、正常なアプリのように振る舞います。しかしながら、起動して2時間経つと、オンラインバンキングを狙ったウイルスのAPKファイルをダウンロードして、ユーザーにインストールさせようと試みます。

このように感染後一定期間が経つか、特定の日時に悪意のある機能を動作させる攻撃手法が実装された理由は、恐らくGoogleが今夏より導入しているAndroid向け標準セキュリティーサービス「Google Playプロテクト」を回避するために実装された機能だろうとESETは推察しています。

トロイの木馬が仕込まれたアプリ「Tornado Flash Light」(パッケージ名:com.andrtorn.app)をユーザーがGoogle Playストアからダウンロードして起動すると、まずはじめに対象の機器に指定したアプリ(各国のオンラインバンキングアプリなど)がインストールされていないか確認します。

もし指定したアプリがインストールされていれば、2時間後にオンラインバンキングを狙ったウイルスが仕込まれたアプリ(パッケージ名:com.vdn.market.plugin.upd)のAPKファイルがダウンロードされ、開かれます。

ここで提供元不明のアプリのインストール許可設定をしていると、アプリをインストールするかどうか確認するウィンドウが表示されます。なお、指定したアプリがインストールされていなければ、そこで活動を中止し不審な動きは一切行われなくなります。

遅延攻撃によって一見すると何かのアプリのアップデートをGoogle Playストアからダウンロードしてきたのだなと勘違いし、インストールしてしまうと、機器の管理者権限を要求するダイアログが表示されます。

ここで権限の許可を行ってしまうと、オンラインバンキングのログインに必要なIDとパスワードなどの重要なデータが漏洩するといった流れになります。

もし、提供元不明のアプリのインストール許可設定を行っていなければ、エラーメッセージが表示され、オンラインバンキングを狙ったウイルスのインストールに失敗するようになっています。

また、このウイルスは感染するまでの間に、提供元不明のアプリのインストール許可ウィンドウ、ウイルスへの管理者権限の付与確認ダイアログの計2回何かしらの操作が必要となりますので、注意深く確認すれば感染を防ぐ事ができます。

tornado-02
Google Playプロテクトでは検知されず

今回発見されたTornado Flash LightはGoogle Playプロテクトでは不正なアプリとして検出されておらず、Tornado Flash Lightがダウンロードしてきたオンラインバンキングを狙ったウイルスも同様に、Google Playプロテクトで不正なアプリとして検知されませんでした。

Google Playプロテクトでは検知されなかったものの、すでにGoogle PlayストアからTornado Flash Lightが削除されていると変わった状況になっています。

今回のマルウェアは、他と違ってGoogle Playプロテクトを回避するための遅延攻撃の仕組みが実装されていたので興味深いものでしたが、一方で感染させるまでにクリアするハードルが高いため注意喚起さえすれば感染数はかなり抑えられると考えられます。

すでにGoogle Playストアから削除されているため、新規の感染者もしばらくは出てこないものと見られます。ただ、だからといって今回のマルウェアはたうしたことなかったと油断して良いということではありません。

現に、Google Playプロテクトでは検知されなかったため、他のマルウェアでも同様の機能が実装されてしまうと、容易に感染を許してしまう恐れがあります。以前に紹介した記事で、Google Playプロテクトだけではマルウェアの感染を防げることが少ないと紹介しましたが、さっそくGoogle Playプロテクトでは保護されないケースが出てきたというわけです。

追記(2017/12/18 20:25:39)
記事初出で「ゼロデイ攻撃」としていましたが、定義を誤って解釈していたとのことで、誤っていましたので修正しています。

記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
Malicious apps attempt to distribute malware via Google Play once again