テキストメッセージ内のリンクを介して他のユーザーに拡散する珍しい Android ワームがセキュリティ研究者によって発見されました。
「Selfmite」と名付けられたこのマルウェアは、デバイスにインストールされると、デバイス所有者のアドレス帳にある 20 人の連絡先にテキスト メッセージを送信します。
Android向けのマルウェアプログラムのほとんどは、非公式アプリストアから配布される、自己増殖機能を持たないトロイの木馬アプリです。Android SMSワームはまれですが、Selfmiteは過去2ヶ月間で発見された2番目の脅威であり、今後その数が増加する可能性を示唆しています。
Selfmite から送信されたテキスト メッセージには、連絡先の名前と、「親愛なる [名前] 様、Look the Self-time」という文言が含まれており、その後に goo.gl の短縮 URL が続きます。
セキュリティ企業 AdaptiveMobile の研究者らはブログ投稿で、この不正なリンクはリモート サーバーでホストされている TheSelfTimerV1.apk という APK (Android アプリケーション パッケージ) ファイルを指していると述べている。
ユーザーが APK のインストールに同意すると、「セルフタイマー」という名前のアプリがアプリ リストに表示されます。
Selfmite ワームは、他のユーザーに自分自身を拡散するだけでなく、ユーザーにローカル ブラウザーを通じて mobogenie_122141003.apk というファイルをダウンロードしてインストールするように誘導しようとします。
一部の Android スマートフォンでは、テキスト メッセージ機能が Google ハングアウト アプリにバンドルされています。
Mobogenieは、AndroidデバイスをPCと同期させ、代替アプリストアからアプリをダウンロードできる正規のアプリケーションです。Mobogenie MarketアプリはGoogle Playから5,000万回以上ダウンロードされていますが、様々な有料紹介スキームを通じても宣伝されており、攻撃者が不正に配布する動機となっています。
「身元不明の登録広告プラットフォームユーザーが合法的なサービスを悪用し、悪意のあるソフトウェアを使ってMobogenieアプリのインストール数を増やそうとしたと考えられます」とAdaptiveMobileの研究者は述べた。
同社の技術は世界最大手のモバイル通信事業者数社に利用されていると主張するセキュリティベンダーは、北米でセルフマイトに感染したデバイスが数十台検出されたと発表した。
悪意のあるAPKを配布するために使用された短縮URL goo.gl は、Googleが無効化するまでに2,140回アクセスされました。しかし、攻撃者が別のURLを作成して新たな攻撃キャンペーンを開始できないわけではありません。
現在の配布モデルでは、この脅威は、Google Play以外の「提供元不明」アプリのインストールを許可するようにデバイスを設定しているユーザーのみに影響を及ぼす可能性が高い。ほとんどのユーザーはこの機能をスマートフォンで有効にしていないが、Google Play経由で配布されていない正規アプリが存在するため、有効にするユーザーもいる。
「ユーザーへの影響は、ワームやその他の不要なソフトウェアをインストールさせられるだけではありません。ワームは、ユーザーが気付かないうちに自動的にメッセージを送信することで、ユーザーの課金プランを使い果たし、金銭を浪費させる可能性があります」とAdaptiveMobileの研究者は述べています。「さらに、スパムメールを送信することで、感染したデバイスは携帯電話事業者によってブロックされる危険性があります。さらに深刻なのは、ワームがブラウザ上で指し示すURLが、Mobogenieアプリほど正規ではない可能性のある他の.apkにリダイレクトされる可能性があることです。」
