AndroidマーケットへのDroidDreamの侵入は、Android界を依然として揺るがしています。GoogleはDroidDream関連アプリをキルスイッチで削除しましたが、このAndroid向けトロイの木馬がどのようにGoogleに侵入したのか、そして将来同様の攻撃を防ぐ方法についての調査は、まだ始まったばかりです。
Androidスマートフォンを保護するツールを提供するモバイルセキュリティ企業Lookoutは、DroidDreamアプリを綿密に調査し、このマルウェアの仕組みを解明してきました。まず第一に、DroidDreamは一見正規のアプリに潜むトロイの木馬型攻撃です。他のAndroid向けトロイの木馬よりも狡猾なのは、DroidDreamがAndroidマーケットに巧妙に侵入している点です。この脅威について他にわかっていることを以下にまとめます。
• このマルウェアは、Androidスマートフォンの所有者が眠っている間、つまり一見平穏な夢を見ている間にのみ実行されるように設計されているため、その名が付けられました。DroidDreamは、午後11時から午前8時の間に悪意ある活動を行うように設定されています。
• DroidDreamは、Androidのセキュリティサンドボックスを突破するために、2つの既知のエクスプロイト(exploidとrageagainstthecage)を利用しています。皮肉なことに、標的となった脆弱性はどちらもAndroid 2.3「Gingerbread」で修正されていました。今回のケースでは、Androidの断片化がアキレス腱となりました。Gingerbreadはリリースされてから数か月が経過しているにもかかわらず、アップデートを受け取っているAndroidスマートフォンは全体の1%にも満たないからです。Androidユーザーは、各スマートフォンメーカーが自社のスマートフォンモデルにAndroid OSアップデートを適用するかどうかに、翻弄されています。
• Androidスマートフォンがルート化されると、DroidDreamは「com.android.providers.downloadsmanager」という特定のパッケージを検索します。このパッケージが見つからない場合、DroidDreamはユーザーに気付かれずに2つ目の悪意のあるアプリをサイレントインストールします。他の悪意のあるアプリは、DroidDreamのコマンド&コントロールサーバーからステルスでインストールされる可能性があります。
• DroidDream は、IMEI、IMSI、デバイス モデル、SDK バージョン、言語、国、ユーザー ID など、さまざまな情報をスマートフォンからリモート コマンド アンド コントロール センターに送信します。
Lookoutは、DroidDreamが強力なゾンビエージェントであり、あらゆるアプリケーションを密かにインストールし、ルート権限で任意のコードを実行できることを発見しました。Lookoutによると、DroidDreamは、エクスプロイトを利用してルート権限を取得し、感染したスマートフォンを事実上無制限に制御する初のAndroidマルウェアです。
しかし、無視できない問題は、DroidDream がすでに特定され修正された脆弱性を悪用しているにもかかわらず、スマートフォンがまだ Gingerbread にアップデートされていないため、Android ユーザーの 99 パーセントが依然として危険にさらされているという事実です。
