Android マルウェアの新しいファミリーは、データを盗むアプリケーションにユーザーに料金を支払わせることで、さらに事態を悪化させています。
パロアルトネットワークスは、任天堂のゲームをプレイするのに使用されるエミュレーターアプリケーションを装った、Gunpoderと呼ばれるマルウェアの3つの亜種を発見した。
パロアルトのユニット42研究グループのCong Zheng氏とZhi Xu氏は、Gunpoderの悪意あるコードはAirpushと呼ばれるアドウェアライブラリにパッケージ化されているため、ウイルス対策エンジンでは検出が困難になっていると書いている。
「マルウェアサンプルは、これらの広告ライブラリを巧みに利用して、悪意のある動作をウイルス対策エンジンによる検出から隠蔽しています」と研究者らは述べている。「ウイルス対策エンジンはGunpoderをアドウェアとしてフラグ付けするかもしれませんが、明らかに悪意のあるものとしてフラグ付けしないため、ほとんどのエンジンはGunpoderの実行を阻止できません。」
Gunpoder アプリは、ブックマークやブラウザ履歴の収集、SMS 経由での他者への送信、詐欺的な広告の表示、その他のコードの実行など、さまざまな侵入アクションを実行できます。
そして、ユーザーはそのデータ窃盗機能に対して料金を支払うことになります。Gunpoderアプリが起動すると、エミュレーターの永久ライセンスを0.20ドルまたは0.49ドルで購入するよう求められます。支払いはPayPalまたはSkrillで可能です。
パロアルト社によると、これまでのところ、ガンポダーはイラク、タイ、インド、インドネシア、南アフリカ、ロシア、フランス、メキシコ、ブラジル、サウジアラビア、イタリア、米国、スペインの人々を標的にしているようだ。
興味深いことに、このマルウェアは、ユーザーが中国にいる場合、電話の連絡先リストにある他の番号に SMS で自分自身を送信しないようにプログラムされています。
同社のコード作成者は、Airpush の広告ライブラリを不正な広告に利用した。
「この詐欺広告ページはFacebookページを模倣している」とパロアルトは述べている。「被害者にいくつかのアンケートへの回答を要求し、ギフトを受け取るために様々なアプリケーションをインストールするよう求めている。」
