チェック・ポイントのセキュリティ・リサーチ・チームは今回、非常に深刻な新しいマルウェア攻撃キャンペーンを発見しました。「Gooligan」と名付けられたこのキャンペーンではすでに、100万件以上のGoogleアカウントがセキュリティ侵害を受けており、被害デバイスは1日当たり1万3,000台のペースで増加を続けています。

チェック・ポイントの調査によると、この攻撃ではマルウェアによりデバイスのroot権限が取得(root化)され、認証トークンが窃取されます。トークンを悪用された場合、Google PlayやGmail、Googleフォト、Googleドキュメント、G Suite、Googleドライブなど、各種Googleサービスのデータに不正アクセスされるおそれがあります。

Gooliganは、チェック・ポイントの研究者が昨年発見した、SnapPeaアプリを悪用するAndroidマルウェア・キャンペーンの派生形です。

チェック・ポイントは、この攻撃キャンペーンを発見後、直ちにGoogleのセキュリティ・チームに情報提供を行いました。現在も、Googleのチームと密接に協力しながら、攻撃の発信源についての調査を進めています。


Gooliganキャンペーンの仕組み

GoogleのAndroidセキュリティ担当責任者、エイドリアン・ラドウィッグ(Adrian Ludwig)氏は次のように述べています。「調査を実施し、問題把握のための共同作業に協力いただいたチェック・ポイントに感謝申し上げます。Googleでは、Ghost Pushマルウェア・ファミリーからユーザを保護する継続的な取り組みの一環として、Androidエコシステム全体のセキュリティを強化するさまざまな対策を実施しています。」

Gooliganに関する、ラドウィッグ氏による声明の全文

Googleは、この問題への対応について、力強い声明を発表しています。チェック・ポイントでは、今後も引き続き、Googleと協力してGooliganの調査を進めて参ります。またGoogleの発表によると、影響を受けたユーザへの通知、窃取されたトークンの無効化、SafetyNetの改善による類似マルウェアへの対策強化など、現在さまざまな措置を講じているとのことです。

以降のセクションでは、この攻撃キャンペーンについて詳しく解説します。

影響を受けるデバイス

Gooliganの影響を受けるのは、Android 4(Jelly Bean、KitKat)またはAndroid 5(Lollipop)が動作するデバイスです。両バージョンのシェアは、現在使用されているAndroid搭載デバイス全体の74%以上を占めています。感染デバイスの約57%はアジア諸国、約9%はヨーロッパ諸国で使用されています。

侵害を受けたアカウント100万件の地域別内訳

チェック・ポイントでは、Gooliganに感染している偽アプリを数十種類確認しています。文末の「付録A」に記したアプリをダウンロードした覚えがある場合は、すでにGooliganに感染している可能性があります。これらのアプリがAndroid搭載デバイス上に存在しているかどうかは、デバイスの「設定」→「アプリ」で確認できます。該当のアプリが見つかった場合は、Check Point ZoneAlarmなどのアンチウイルス製品をインストールし、本当に感染しているかどうかをチェックしてください。

また、Gooliganにより窃取された電子メール・アドレスのうち数百件は、世界各国の企業で使用されているアドレスと一致していることが判明しています。

Googleアカウントが侵害されているかどうかを確認する方法

Googleアカウントが侵害されているかどうかは、チェック・ポイントの専用Webサイトhttps://gooligan.checkpoint.com/で確認できます。

アカウントが侵害されている場合は、次の手順を実施する必要があります。

  1. モバイル・デバイスのオペレーティング・システムをクリーン・インストールする必要があります(このプロセスは「フラッシング」と呼ばれます)。これは複雑な作業であるため、問題のデバイスの電源をオフにした上で、認定技術者またはモバイル通信事業者に作業を依頼することを推奨します。
  2. 手順1の直後に、Googleアカウントのパスワードを変更します。

Gooliganマルウェアへの感染経緯

チェック・ポイントでは、無害なアプリを装った数十種類のアプリにGooliganマルウェアのコードが組み込まれている事実を確認しています。該当のアプリは、サードパーティのAndroidアプリ・ストアで配布されていました。サードパーティのアプリ・ストアでは、多くのアプリが無償で入手できるだけでなく、有償アプリの海賊版が無料で提供されていることから、一部のユーザは、公式のGoogle Playではなく、サードパーティのアプリ・ストアを好んで利用しています。しかしこの種のストアでは、ストア自体や配布アプリのセキュリティは必ずしも検証されていません。またGooligan感染アプリは、フィッシング攻撃経由でインストールされる場合もあります。この場合、攻撃者は、SMSなどのメッセージング・サービスを利用して、感染アプリへのリンクを無差別に送り付けます。

Gooliganの出現経緯

チェック・ポイントの研究者がGooliganのコードを最初に目にしたのは、昨年、不正なSnapPeaアプリを調査していたときのことです。当時、同マルウェアの存在は複数のセキュリティ・ベンダーで確認されており、Ghostpush、MonkeyTest、Xinyinheなど、異なるマルウェア・ファミリー名で呼ばれていました。その後、同年後半までに活動は沈静化し、今夏、Androidのシステム・プロセスに不正なコードを挿入する複雑なアーキテクチャを採用して再登場するまで、ほとんど活動は観察されていませんでした。

Gooligan:増加する感染数

マルウェア作成者がGooliganの動作を変更した理由は、詐欺的な広告活動で金銭的利益を得るためと推測されます。同マルウェアは、正規の広告ネットワークで配信されるアプリ広告のクリックにより、そのアプリをデバイス上にインストールさせます。こうして、アプリのインストールに対する成功報酬を得ようというのがこのマルウェアの目的です。

チェック・ポイントが収集したログによると、Gooliganは、1日当たり3万以上のアプリを不正にインストールしており、キャンペーン開始以降のインストール数は200万を超えています。

Gooliganの活動内容

感染プロセスは、脆弱性のあるAndroid搭載デバイスに、ユーザがGooligan感染アプリをダウンロードしてインストールするところから始まります。チェック・ポイントのリサーチ・チームは、感染アプリがサードパーティ・アプリ・ストアで配布されている事実を確認していますが、フィッシング攻撃のメッセージに記載された不正なリンク経由でアプリがダウンロードおよびインストールされる場合もあります。デバイスにインストールされたアプリは、そのデバイスに関するデータを指令(C&C)サーバに送信します。

その後Gooliganは、C&Cサーバからrootkitをダウンロードします。このrootkitは、Android 4および5に存在する有名な脆弱性「VROOT」(CVE-2013-6282)と「Towelroot」(CVE-2014-3153)を含む複数の脆弱性を悪用します。対応するセキュリティ・パッチはすでに提供されていますが、この脆弱性が残るデバイスはいまだに多数存在しているのが実情です。その理由としては、一部バージョンのAndroidではパッチを適用できない点や、パッチを適用しようとしないユーザの存在が挙げられます。root化されたデバイスは、攻撃者に完全に乗っ取られ、リモートから特権コマンドを実行されるおそれがあります。

root権限を取得したGooliganは、C&Cサーバから新しい不正モジュールをダウンロードし、デバイスにインストールします。このモジュールは、実行中のGoogle PlayまたはGoogle GMS(Google Mobile Services)にコードを挿入し、ユーザ操作をエミュレートします。これは、モバイル・マルウェアHummingBadで初めて確認された、マルウェアとしての検出を回避するための手口です。Gooliganは、同モジュールを使用して次の活動を行います。

  • ユーザのGoogleメール・アカウントと認証トークンの情報を窃取する
  • Google Playのアプリをインストールし、そのアプリに高評価を付け、アプリの評判を水増しする
  • アドウェアをインストールして報酬を得る

広告サービスを使用しているアプリがマルウェアかどうかを知る由もない広告サーバは、Gooliganに対し、Google Playからダウンロードすべきアプリの名前を通知します。アプリがインストールされた場合、広告サービスから攻撃者に対して成功報酬が支払われます。Gooliganはさらに、C&Cサーバから送られたテキストを使用して、Google Playでアプリに好意的なレビューを投稿し、高い評価を付けます。

チェック・ポイントのリサーチ・チームは、感染デバイスのデータとGoogle Playのレビューを照合し、このような活動が行われている事例を複数確認しています。アプリのレビューや評価を鵜呑みにするのは危険であるという指摘の正しさが改めて裏付けられた格好です。

攻撃者の感染先リストに掲載されていたユーザによるレビューの例

攻撃者の感染先リストに掲載されていたユーザによるレビューの例

詐欺的アプリに付けられた偽のレビューとコメントの例

詐欺的アプリに付けられた偽のレビューとコメントの例

気付かぬうちに2つの詐欺的アプリをインストールさせられていたユーザによるコメント

気付かぬうちに2つの詐欺的アプリをインストールさせられていたユーザによるコメント

またGooliganは、HummingBadと同様、デバイスの識別情報(IMEIやIMSIなど)を偽装して、同じアプリを2回ダウンロードします。これは、アプリが別のデバイスにインストールされたように見せかけて、2倍の報酬を受け取ることを目的としています。

GooliganによってGoogle Playからダウンロードされたアプリの例

GooliganによってGoogle Playからダウンロードされたアプリの例

認証トークンとは

認証トークンは、ユーザのGoogleアカウントや関連サービスへのアクセスに使用される情報です。ユーザがアカウントへのログインに成功した時点で、Googleにより発行されます。

認証トークンが窃取された場合、ユーザが使用するすべてのGoogleサービス(Google Play、Gmail、Googleドキュメント、Googleドライブ、Googleフォトなど)に不正アクセスされる可能性があります。

Googleは、2ファクタ認証など、Googleアカウントの侵害を防止するための複数の仕組みを導入していますが、認証トークンを窃取された場合、このような仕組みはバイパスされます。ユーザはすでにログインしているものと見なされるため、攻撃者は、本来のユーザとまったく同じように振る舞うことができます。

まとめ

Gooliganは、すでに100万件以上のGoogleアカウントを侵害しています。これはおそらく、Googleアカウントの侵害事件として過去最大であり、チェック・ポイントはGoogleと協力して継続的に調査を行っています。Androidユーザの皆さんには、アカウントが侵害されていないかどうか、直ちに確認することを推奨します。

付録A: Gooliganに感染している偽アプリの一覧

  • Perfect Cleaner
  • Demo
  • WiFi Enhancer
  • Snake
  • gla.pev.zvh
  • Html5 Games
  • Demm
  • memory booster
  • แข่งรถสุดโหด
  • StopWatch
  • Clear
  • ballSmove_004
  • Flashlight Free
  • memory booste
  • Touch Beauty
  • Demoad
  • Small Blue Point
  • Battery Monitor
  • 清理大师
  • UC Mini
  • Shadow Crush
  • Sex Photo
  • 小白点
  • tub.ajy.ics
  • Hip Good
  • Memory Booster
  • phone booster
  • SettingService
  • Wifi Master
  • Fruit Slots
  • System Booster
  • Dircet Browser
  • FUNNY DROPS
  • Puzzle Bubble-Pet Paradise
  • GPS
  • Light Browser
  • Clean Master
  • YouTube Downloader
  • KXService
  • Best Wallpapers
  • Smart Touch
  • Light Advanced
  • SmartFolder
  • youtubeplayer
  • Beautiful Alarm
  • PronClub
  • Detecting instrument
  • Calculator
  • GPS Speed
  • Fast Cleaner
  • Blue Point
  • CakeSweety
  • Pedometer
  • Compass Lite
  • Fingerprint unlock
  • PornClub
  • com.browser.provider
  • Assistive Touch
  • Sex Cademy
  • OneKeyLock
  • Wifi Speed Pro
  • Minibooster
  • com.so.itouch
  • com.fabullacop.loudcallernameringtone
  • Kiss Browser
  • Weather
  • Chrono Marker
  • Slots Mania
  • Multifunction Flashlight
  • So Hot
  • Google
  • HotH5Games
  • Swamm Browser
  • Billiards
  • TcashDemo
  • Sexy hot wallpaper
  • Wifi Accelerate
  • Simple Calculator
  • Daily Racing
  • Talking Tom 3
  • com.example.ddeo
  • Test
  • Hot Photo
  • QPlay
  • Virtual
  • Music Cloud