セキュリティ研究者によると、Google Play ストアにある 130 以上の Android アプリに悪意のあるコードが含まれていることがわかった。開発者が感染したコンピューターを使用していたためと考えられる。
セキュリティ企業パロアルトネットワークスによると、132個のアプリは、マルウェアをホストしている2つのドメインにリンクする隠しiframe(ウェブページ内に埋め込まれたHTML文書)を生成していることが判明した。
GoogleはすでにこれらのアプリをPlayストアから削除している。しかし興味深いのは、これらのアプリの開発者は悪意のあるコードを組み込んだ責任を負っていない可能性が高いということだ、とPalo Alto Networksは水曜日のブログ投稿で述べている。
むしろ、開発者がこれらのアプリの構築に使用したプラットフォームが、HTML ページを探して悪意のあるコードを挿入するマルウェアに感染していた可能性が高いと同社は述べている。
これらの悪質なアプリの多くは、チーズケーキ、庭の造園、パティオのレイアウトといったデザインアイデアを提供していました。最も人気の高いものは1万回以上ダウンロードされました。
パロアルトネットワークス 悪意のあるコードが挿入されていることが判明したアプリの 1 つ。
インストールされると、アプリは一見無害なウェブページを表示します。しかし実際には、表示されるページには、2つの疑わしいドメインにリンクする小さなiframeが隠されています。
どちらのドメインも以前はWindowsマルウェアのホスティングに関与していました。しかし、2013年にポーランドのセキュリティチームがこれらのドメインを掌握し、事実上閉鎖されたとPalo Alto Networksは述べています。しかしながら、Googleは依然としてこれらのドメインを危険なサイトとして表示しています。
これらのアプリが、悪意のある2つの(しかし現在は廃止されている)ドメインにリンクしていた理由は依然として不明です。しかし、Palo Alto Networksは、問題となるiframeではなく、Windows用のMicrosoft Visual Basicスクリプトを含む、特異なアプリサンプルも発見しました。
このスクリプトはAndroidユーザーに害を及ぼさないことを考えると、このようなものを含めるのは奇妙です。しかし、これらのアプリの開発者のWindowsマシンがマルウェアに感染していた可能性はあります。
パロアルトネットワークスによると、WindowsベースのRamnitなどのマルウェアの中には、コンピュータ上のファイルを検索し、悪意のあるコードを挿入することが知られているものがあるという。「Windowsホストに感染すると、これらのウイルスはハードドライブ上でHTMLファイルを検索し、各ドキュメントにiFrameを追加します」と同社は述べている。
「開発者がこれらのウイルスのいずれかに感染した場合、アプリのHTMLファイルも感染する可能性がある」とパロアルトネットワークスは付け加えた。
別のシナリオでは、アプリ開発者が、すでに悪意のあるコードに汚染された開発ツールをダウンロードした可能性もあります。
これら132個のアプリは、現在廃止された2つの悪意あるドメインにリンクされているため、実際にはそれほど大きな脅威ではありません。これらのアプリを改ざんした人物が、誤って改ざんした可能性もあるでしょう。
「ファイル感染型ウイルスは、これらのドメインがオフラインになった後でも何年も飛び回り続ける可能性がある」とパロアルトネットワークスのインテリジェンスディレクター、ライアン・オルソン氏は電子メールで述べた。
「これらのマルウェアは通常、実行ファイルに感染し、USBメモリや共有ドライブに自身をコピーします」と彼は付け加えた。「これらのファイルにiframeを書き込んだマルウェアは、ドメインがシンクホール化される前にリリースされた可能性が高いです。」
それでも、より大きな懸念は、開発者アプリに密かに感染させてユーザーの情報を盗んだり、他の種類のマルウェアを投下したりするなど、誰かが攻撃を再現して実際の危険を引き起こそうとする可能性があることだ。
「より集中的で成功する攻撃を想像するのは容易だ」とパロアルトネットワークスはブログ投稿で述べた。
132個のアプリの開発者は7つの異なる団体に属しているが、いずれもインドネシアと関係があるようだとセキュリティ会社は述べた。
