Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意
マイナビニュース / 2024年5月2日 8時31分
中国の大手情報セキュリティ企業である奇安信(Qianxin)は4月29日(中国時間)、「Playing Possum: What's the Wpeeper Backdoor Up To?」において、Android向けサードパーティーアプリストアから新しいマルウェア「Wpeeper」を発見したとして、注意を呼び掛けた。
○マルウェア「Wpeeper」の概要
奇安信によると発見されたマルウェアは典型的なトロイの木馬で、デバイス情報の窃取、ファイルおよびディレクトリの操作、アップロード、ダウンロード、コマンドの実行機能などを持つとみられる。他のマルウェアと異なる点は、以下の特徴を持つネットワーク機能にあるという。
侵害したWordPressサイトを中継点として利用し、攻撃者のコマンド&コントロール(C2: Command and Control)サーバを隠蔽する
HTTPSプロトコルを使用して通信を保護する
セッションを使用してリクエストを区別する
C2サーバからのコマンドをAESで暗号化し、乗っ取りを防止するために楕円曲線暗号による署名を付加する
○侵害経路と突然の中止
攻撃者は、サードパーティーアプリストアの「UPtodown」から配布されているアプリに悪意のある小さなコードを追加して再パッケージ化する手法を使うとされる。追加されたコードはマルウェアローダーとして機能し、Wpeeperをダウンロードして実行する機能を持つ。再パッケージ化されたアプリは別のサードパーティーアプリストア「aapks[.]com」から配布されたことが確認されている。
奇安信によると4月22日、このマルウェアを使用した攻撃キャンペーンが突然中止されたという。攻撃者のC2サーバからマルウェアを削除するコマンドが発行され、マルウェアのダウンロードも停止されたとしている。しかしながら、これはキャンペーンを終了したのではなく一時的に身を隠し、マルウェアローダーが蔓延してから復活するのではないかと推測されている。
○対策
このマルウェアは特定のアプリを通じて配布されるのではなく、他の開発者が配布しているアプリに侵入する形で配布されるため、悪意のあるアプリをハッシュ値から検出する手法で回避することは困難と考えられる。そのため、この攻撃を回避するには高度な検出機能を持つセキュリティソリューションの導入、および正規ストアのGoogle Playからのみアプリを入手することが推奨される。
奇安信は調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
有名ブランド偽装してブラウザ拡張機能を要求するWebサイトに注意
マイナビニュース / 2024年5月16日 12時11分
-
InstagramやGoogleの公式アイコン悪用するAndroid狙うマルウェアに注意
マイナビニュース / 2024年5月13日 9時14分
-
SOHO向けネットワーク機器を標的とするマルウェア「Cuttlefish」に注意
マイナビニュース / 2024年5月13日 7時52分
-
D-Link無線ルータの古い脆弱性を悪用する攻撃が発生、交換を
マイナビニュース / 2024年5月8日 7時33分
-
Chromeだと思ったらマルウェアだった、Android狙うサイバー攻撃に注意
マイナビニュース / 2024年4月27日 9時5分
ランキング
-
1ノリノリの音楽とともに敵を殲滅!リズムゲー要素ありなローグライクシューティングは日本語にも対応―採れたて!本日のSteam注目ゲーム8選【2024年5月16日】
Game*Spark / 2024年5月16日 22時0分
-
2小室哲哉も視聴済み 「Get Wildだと思ったらにんげんていいなだった」が約20万再生の人気で「このセンスほんと好き」「最高www」
ねとらぼ / 2024年5月16日 20時30分
-
3鋭すぎて取り扱い注意! 日本では珍しい先端0.1mmのテストリードが1400円
ASCII.jp / 2024年5月16日 10時0分
-
4「あて所に尋ねあたりません」 日本郵便の“404エラーページ”がおしゃれと話題 「センスいい」「遊び心よ」
ねとらぼ / 2024年5月16日 16時0分
-
538歳独身のイケメンアナ、マッチングアプリの“なりすまし”に注意喚起 「きちんと出会いたい方々にも失礼」と苦言呈する
ねとらぼ / 2024年5月16日 19時40分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください