20か国以上のAndroidユーザーが、デバイスに不要な広告を大量に表示する特に攻撃的なマルウェアプログラムに感染している。
FireEye の研究者は、「Kemoge」というニックネームの悪意のあるコンポーネントが、サードパーティのアプリケーション ストアで提供されている正規のアプリのように見えるものの中に埋め込まれていることを発見しました。
「これはまた別の悪質なアドウェアファミリーであり、おそらく中国の開発者によって書かれたか、中国のハッカーによって操作されており、世界規模で拡散しており、重大な脅威となっている」とファイア・アイのスタッフ研究科学者であるユロン・チャン氏は書いている。
Kemoge を作成した人物は、正規のアプリをマルウェアに再パッケージ化し、それを Web サイトやアプリ内広告で宣伝して、人々にダウンロードするよう説得しました。
Zhang氏は、影響を受けるアプリとして、Sex Cademy、Assistive Touch、Calculator、Kiss Browser、Smart Touch、Shareit、Privacy Lock、Easy Locker、2048kg、Talking Tom 3、WiFi Enhancer、Light Browserを挙げた。
サードパーティのアプリストアは、ハッカーが悪意のあるアプリを頻繁にアップロードするため、Androidアプリをダウンロードするには危険な場所とみなされています。GoogleはPlayストアのアプリに対してセキュリティチェックを行っていますが、時折、有害なアプリが紛れ込むことがあります。
Kemogeは不要な広告を表示するだけでなく、幅広いAndroidデバイスを標的とする8つのルート化エクスプロイトを搭載しているとZhang氏は述べている。これらのエクスプロイトを使った攻撃が成功すれば、攻撃者はデバイスを完全に制御できるようになる。
ファイアアイ ファイア・アイによれば、ユーザーはサードパーティのマーケットプレイスを通じて感染したアプリをダウンロードするように誘導され、その後、デバイスのソフトウェアの欠陥が調査されるという。
Kemoge は、デバイスの IMEI (国際移動局装置識別番号) と IMSI (国際移動体加入者識別番号) 番号、ストレージとアプリに関する情報を収集し、その情報をリモート サーバーに送信します。
張氏によると、そのコマンド&コントロールサーバーはまだ稼働していたという。感染したデバイスとサーバー間で交換されたトラフィックを分析したところ、Kemogeはウイルス対策アプリのアンインストールも試みることが判明した。
興味深いことに、FireEye は Google Play ストアで、サードパーティのソースで見つかった悪意のあるデジタル証明書と同じデジタル証明書で署名された Shareit というアプリを発見しました。
Google Play版ShareItには、8つのルート化エクスプロイトやコマンド&コントロールサーバーへの接続機能は含まれていませんでしたが、Kemogeと同じコードライブラリがいくつか含まれていました。現在、Google Playから削除されているようです。
「この脅威についてGoogleに通知しました」と張氏は書いている。
