Dr.WEB、新たな脆弱性を悪用するトロイの木馬がAndroidアプリケーション配信サイトから拡散

Doctor Webは、近頃発見されたAndroidの「マスターキー」脆弱性を悪用した悪意のあるプログラムの初めての例を確認しました。このAndroid.Nimefas.1.originは、SMSの送信、犯罪者への個人情報の送信、感染したデバイス上での犯罪者によるリモートでのコマンド実行を可能にする機能を備えています。現時点では、中国のユーザー向けAndroidアプリケーション配信サイトで入手可能なゲームやアプリケーションと一緒に拡散されていますが、今後「マスターキー」脆弱性を悪用したマルウェアの増加が予想されることから、それに伴う拡散地域の拡大も十分に考えられます。

「マスターキー」脆弱性の悪用は技術的に決して難しいものではないことから、遅かれ早かれ犯罪者によって利用されるであろうということは、この脆弱性が公になった瞬間からセキュリティエキスパート達によって予測されていました。はたしてその通り、脆弱性の詳細が明らかにされてから1ヵ月も経たないうちに、今回のマルウェアが登場しています。

Dr.WebによってAndroid.Nimefas.1.originと名付けられたこのトロイの木馬は、Androidアプリケーションと一緒に拡散され、プログラムのDexFileが置かれていたディレクトリ内に改変されたDexFileとして含まれています。「マスターキー」脆弱性はAndroidでのアプリケーションのインストールに関するもので、apkパッケージのサブディレクトリに同じ名前を持つファイルが2つ含まれていた場合に、OSは1つ目のファイルのデジタル署名を確認しますが、確認されていない2つ目のファイルをインストールしてしまうというものでした。これを利用することで、Android.Nimefas.1.originは改変されたアプリケーションのインストールを防ぐセキュリティをすり抜けます。

Android.Nimefas.1.originは、中国のアプリケーション配信サイトで入手可能な多くのゲームやアプリケーションと一緒に拡散されており、中国のユーザーにとって深刻な脅威となっています。サイトの管理者に対しては既に報告が行われていますが、今後「マスターキー」脆弱性を悪用したマルウェアの増加に伴う拡散地域の拡大が予想されます。Androidモバイルデバイスのメーカーからは、この脆弱性を閉じるOSのアップデートがリリースされていないため、多くのデバイスが被害に合う可能性があります。また、市場にはメーカーによるサポートが終了しているデバイスも多く出回っており、そのようなデバイスのユーザーはセキュリティを入手できない可能性もあります。

このトロイの木馬はDr.WebのOrigins Tracing™によって検出されるため、Dr.Web anti-virus for Androidが動作しているデバイスはAndroid.Nimefas.1.originから保護されています。また、このマルウェアを含んだapkファイルはExploit.APKDuplicateNameとしてDr.Webによって検出されています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=654&lng=ja&c=2