2015年7月7日に米国で掲載されたブログ記事の抄訳です。

概要

サイバーセキュリティの専門家などで構成されるパロアルトネットワークスの脅威調査チームであるUnit 42は、「VirusTotal」1が提供するすべてのアンチウイルス製品を回避できる新種のAndroidマルウェア群を発見しました。このマルウェア群はその悪質な主機能名から「Gunpoder」と名付けられ、Unit 42は3種類の亜種マルウェアを49件のサンプルから検出しました。今回の注目点は、アンチウイルス製品では従来防御されてこなかった「アドウェア」と、被害をもたらす「マルウェア」の間には微妙な差しかないということが明らかになりました。

※1 VirusTotal:ウイルス、マルウェア、URLフィルタリングの無料オンライン スキャン サービス。 40 種類以上のウイルス対策製品を使用してファイルを検査できる。

Gunpoderのサンプルは2014年11月よりVirusTotalにアップロードされており、すべてのアンチウイルスエンジン(ソフトウェア)で「無害」または「アドウェア」として判定されており、従来型の防御対策ではこのマルウェアのインストールを防いでいませんでした。分析の過程において、このサンプルにはアドウェアの特徴が多く含まれ、実際によく使われるアドウェアライブラリが埋め込まれている一方、以下に示されるようにマルウェアとして判定されるような明らかに悪質な振る舞いも多く発見されました。

  • ユーザーから機密情報を収集する
  • SMSメッセージ経由で拡散する
  • 詐欺的な広告を配信する可能性がある
  • 追加の有料課金を実行する機能

Gunpoderはイラク、タイ、インド、インドネシア、南アフリカ、ロシア、フランス、メキシコ、ブラジル、サウジアラビア、イタリア、米国、スペインを含む、少なくとも13か国のAndroidユーザーを標的にしています。Gunpoderのリバース・エンジニアリング(解析調査)から、この新しいAndroid向けマルウェアは中国国外のユーザー間でのみ拡散するという興味深い事象が確認されました。

Unit 42はGunpoderをパロアルトネットワークスのAutoFocusサービスによる調査を行い、WildFire、脅威防御Mobile Security Managerの各ユーザーに対して現時点で既知であるすべてのGunpoder亜種に関するシグネチャをリリースしました。攻撃のライフサイクル全体にわたるパロアルトネットワークス独自の防御機能により、Gunpoderマルウェア群の将来的な亜種もブロックできる可能性があります。

検出を回避する技術を適用

リバースエンジニアリングしたサンプルを調査することにより、マルウェア作成者はアンチウイルスによる検出を回避するためにいくつかの独自技術を適用していたことを発見しました。

  • Gunpoderサンプル内には正規の広告ライブラリが含まれています。これら広告ライブラリは容易に検出でき、攻撃的な振る舞いがみられることもあります。このマルウェアサンプルは、このような広告ライブラリを使うことで、悪質な振る舞いを見えないようにして、アンチウイルスの検出機能を回避しています。アンチウイルスエンジンはGunpoderをアドウェアであると認識しますが、明らかに悪質であるものと識別しないため、ほとんどのエンジンではGunpoderの実行を防ぐことはできません。図1に、あるサンプルにおけるVirusTotalでのスキャン結果を示します
  • Gunpoderを実行したユーザーには正規の広告ライブラリが含まれる旨の通知が表示されます。この通知は、正規のライブラリを意図的にスケープゴート(身代わり)として利用するために追加されたものと考えられます。
  • Gunpoderのサンプルは、オープンソースのゲームフレームワーク(http://sourceforge.net/p/nesoid/code/ci/master/tree/)に基づき、ニンテンドーエンターテインメントシステム(以下NES)のエミュレータゲーム内に悪質なコードを埋め込みます。パロアルトネットワークスでは、マルウェア作成者がオープンソースのAndroidアプリケーションにマルウェアコードを組み入れて再パッケージ化を行う傾向があることを確認しました。Gunpoderはこの技術を用いることで、静的解析が行われた場合に悪質なコードを判別しづらくしています。
  • Gunpoderの標的となるユーザーは中国在住者ではありません。サンプルではPayPal、Skrill、Xsolla、CYPayといったオンライン決済のサポートが確認されました。