セキュリティベンダーのシマンテックの研究者は、ウイルス対策の検出を回避するためにダウンロードされるたびにコードを変更する新しい有料 SMS Android トロイの木馬を特定しました。
この手法はサーバー側ポリモーフィズムとして知られており、デスクトップ マルウェアの世界ではすでに何年も前から存在していましたが、モバイル マルウェアの作成者は最近になってようやくこれを採用し始めました。
配布サーバー上で実行される特別なメカニズムは、トロイの木馬の特定の部分を改変することで、ダウンロードされる悪意のあるアプリがそれぞれ固有のものになるようにします。これは、マルウェアが実行されるたびに自身のコードを変更するローカルポリモーフィズムとは異なります。
シマンテックは、Android.Opfakeとして検出されるこのトロイの木馬の複数の亜種を特定しており、いずれもロシアのウェブサイトから配布されています。ただし、このマルウェアには、多数のヨーロッパ諸国および旧ソビエト連邦諸国の有料電話番号にSMSメッセージを自動送信する命令が含まれています。
場合によっては、特にセキュリティ製品が静的シグネチャに大きく依存している場合、サーバー側のポリモーフィズムを利用するマルウェアの脅威を検出することが困難になることがあります。
「従来のコンピューティングデバイスに影響を及ぼすマルウェアと同様に、ポリモーフィズムの高度さによって、脅威の検出の容易さや難しさが左右される可能性があります」と、シマンテックの主任セキュリティレスポンスマネージャー、ヴィクラム・タクル氏は述べています。「ポリモーフィズムが複雑になればなるほど、よりインテリジェントな対策が必要になります。」
Android.Opfake の場合、配布サーバーによって変更されるのはトロイの木馬のデータ ファイルの一部だけなので、ポリモーフィズムのレベルはそれほど高くありません。
「ウイルス対策ベンダーが実行ファイルと変更されないセクションに検出機能を設ければ、すべてのファイルを確実に検出できるでしょう」と、カスペルスキー研究所のマルウェア研究者ティム・アームストロング氏は述べています。しかし、トロイの木馬の実行コードもポリモーフィック型であれば、検出はより困難になるだろうとアームストロング氏は指摘します。
アームストロング氏によると、ほとんどのユーザーが公式チャネルを通じてアプリを入手しており、Android マーケットの現在の構造では今回のようなマルウェア配布スキームが許可されていないため、サーバーサイドポリモーフィズムは現時点では Android プラットフォーム上ではあまり普及していないとのことです。
しかし、ポリモーフィック型のAndroidマルウェアが将来的にウイルス対策ベンダーの対策強化を迫る可能性については、アームストロング氏も同意する。「犯罪者が攻撃手法を変えるにつれ、従来のプラットフォームで現在利用可能な機能の多くが、必然的にモバイルプラットフォームにも搭載され始めるだろう」とアームストロング氏は述べた。
ウイルス対策会社トレンドマイクロの研究マネージャー、ジャムズ・ヤネザ氏は、「最近、モバイルの脅威の状況には多くの新たな展開があり、マルウェア作成者にとってスマートフォンへの注目が高まるのは当然の動きだ。なぜなら、彼らは通常、金があるところに集まるからだ」と語った。
ユーザーはこの事実と、モバイルPCと同等の機能を持つようになったモバイルデバイスの機能をもっと意識すべきだとヤネザ氏は述べた。「アプリのダウンロードはデスクトップと同じように慎重に行うべきです」。そして、セキュリティアドオンをインストールまたは活用することで、新たな保護層を構築できるはずだ。
