不正アプリの正規マーケット登録の裏にツールや審査回避の手法

トレンドマイクロ株式会社は12月3日、「スマートフォン向け脅威動向セミナー～サイバー犯罪者が利用する最新の犯罪手口と有効な対策～」を開催した。本セミナーは、同社フォワードルッキングスレットリサーチのシニアリサーチャーである林憲明氏によって行われたもの。サイバー犯罪者の標的はPCだけでなく、スマートフォンにも拡大している。スマートフォンを狙う脅威は、初期は不正なWebサイトや偽マーケットなどに誘導するものやゲーム、動画に偽装するものが多く、犯罪者も手探りの状況であったが、現在は犯罪者の手口が多様化し、巧妙な攻撃が容易に実現できる環境にあるという。

特に最近では、正規のアプリマーケットを狙う傾向が顕著になっている。正規のマーケットには信頼感があり、デバイスに標準搭載されているためだ。しかしマーケット側も初回審査や巡回審査を行っており、犯罪者はこれらを回避するための対策にも余念がないという。初回審査への対策には、機能を必要最小限に絞ることと工数の簡略化、複数の開発者を騙るなどを行っている。

2013年1月からは多くの権限を求めず、詐欺行為を転送先のサイトで実施する不正アプリが急増した。単なるブラウザアプリにすれば不正なコードを埋め込む必要がなく、パーミッションもインターネットアクセスのみになるため、初期審査を回避できる。Google Playに公開されていたワンクリック詐欺アプリから、無作為に抽出した300個のアプリのうち、96％にあたる287件がインターネットアクセスのみのパーミッションであった。

また、アプリをコピー＆ペーストで大量生産する傾向も確認されている。URLや外観を変更することで異なる無害なアプリを装うわけだ。さらには、開発者の名前を使い分けて投稿する手法もある。前述の300個のワンクリック詐欺アプリの開発者は80種類あったが、電子署名を確認すると80％にあたる241件がすべて同一の人物であった。一方、巡回審査への対策には時間差攻撃を実施している。これは、無害なアプリで初回の審査を通過した後で、更新機能によって不正アプリの機能を追加するというもの。

更新機能によって不正アプリ化する手法は、生存期間を長くする傾向があるため犯罪効果も高いという。一般的なワンクリック詐欺アプリが2日で削除されるのに対し、時間差攻撃を実施した不正アプリは削除されるまでに33日かかっている。そのためダウンロード数も格段に増えるが、それなりの知識が必要とされると林氏は言う。さらに今後の可能性として、ひとつの不正アプリを複数に分割して審査をパスし、その後の更新機能でひとつのアプリにする手法も登場するとみている。たとえば辞書アプリと言語ファイルといった組み合わせであれば、ユーザに疑問を抱かせない。

林氏は、正規アプリを無断で改変し再配布するためのツールも紹介した。「リパッケージ」と呼ばれるこの手法は、Androidがバイナリからコードへの可逆性が高いことを利用したもの。最近では、正規アプリと遠隔操作アプリを結合するツールもあり、2013年6月には37ドルで売られていたが、現在では無料で入手できる状態であるという。このツールキットは、正規アプリと遠隔操作アプリの結合を行う「バインダー」、犯罪者が遠隔操作を行う「操作パネル」、被害者のスマートフォンに潜伏する「遠隔操作アプリ」で構成される。

犯罪者はこのツールキットを使用して正規アプリを不正アプリにリパッケージし、再配布する。林氏は実際にこのツールキットにより作成した不正アプリのデモを行い、連絡先情報やショートメッセージ、画像など保存データの窃取や、スマートフォンのマイク機能による盗聴、GPS機能による位置情報の取得などを遠隔操作により行った。林氏は、こうした脅威の傾向に対し、トレンドマイクロではクラウド型アプリ評価サービス「Trend Micro Mobile App Reputation」を紹介、審査を回避する不正アプリの検出が可能であるとした。

不正アプリの正規マーケット登録の裏にツールや審査回避の手法（トレンドマイクロ）