ESETの研究者は、Googleの公式AndroidアプリストアであるGoogle Playで、ウイルス対策アプリとして登場した一連のアプリケーションの分析を行った。その結果、セキュリティ機能を持たずに、不要な広告と効果のない疑似セキュリティが提供されるだけのアプリを35種類、発見した。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
第三者テスト機関であるAV-Comparativesによると、モバイル向けウイルス対策アプリにより提供される保護レベルには、かなり大きな違いがある。しかし、それらのソリューションの中の最低レベルのものでさえ、ウイルス対策アプリを装った疑わしいアプリよりも格段に良い。偽装アプリはユーザーに広告を表示させることだけを目的としているからである。2018年4月、公式AndroidアプリストアであるGoogle Playにおいて、こうした偽装アプリが35種類、発見された。
こうしたアプリは、数年間、検知されることがなかった。他方、Google Playの統計によると、これまでの累積で600万回以上インストールがなされた。ただし、この数のすべてが本当のインストールというわけではない。ボットにより偽のダウンロードを実施し、続いてポジティブなレビューを投稿してアプリのレーティングを上げるのは、常とう手段だからである。
35種類すべてのアプリについてESETは警告を発し、最終的にこれらはストアから削除された。
ウイルス対策を装うこれらのアプリは、広告により被害者を不快にさせるのみならず、深刻かつネガティブな副作用を生じさせる。ごく基本的なセキュリティ機能を偽装した結果、正当なアプリを不正として検知することがたびたびある。実際には、いくつかの単純な決め打ちされたルールによってのみセキュリティチェックが行われている。そして、最も重要なことだが、被害者に間違ったセキュリティ感覚を与え、不正アプリを使用するリスクを高めることになる。偽装ウイルス対策アプリでは、そうした不正アプリを検知できないのである。
ESETが分析した結果、これら35種類のアプリの中で、目立った特徴があるものはごくわずかである。1つは完全には無料ではなく、有料アップグレードを実施する。また1つはアプリ実行の許可・拒否を管理する「アプロッカー」(AppLocker)を実装しているものの、稚拙な作りでかつ簡単にバイパスできる。また1つはこのグループのその他すべてのアプリを危険であると警告を発する。その他、ESETブランドを悪用したアプリさえ存在する。
疑似セキュリティ機能
検知を回避するべく、怪しい広告を掲示するアプリはたいてい、一般的なモバイル向けウイルス対策アプリを模倣している。しかし、これらの「ウイルス検知メカニズム」は不完全かつ非常に稚拙であり、そのため、バイパスするのも容易であり、また誤検知を起こしやすい。
ESETがこれらの偽装アプリを研究した結果、「検知メカニズム」は4つのカテゴリーに分類される。これらのメカニズムは、ほぼすべてのアプリで共通している。
1 パッケージ名のホワイトリストとブラックリスト
ホワイトリストがFacebookやInstagram、LinkedIn、Skypeなどの人気のあるアプリを考慮している一方で、ブラックリストはセキュリティ機能として捉えるには登録数があまりにも少なく、不十分である。
2 パーミッションのブラックリスト
(正規アプリを含む)すべてのアプリについて、パーミッションリストにある、危険と考えられる項目を要求した際には、警告が発せられる。例えばSMSの送信、位置情報へのアクセス、カメラへのアクセスなどである。
3 ソースのホワイトリスト
公式AndroidストアであるGoogle Play以外からのアプリはすべて、たとえ完全に安全であるとしても、警告が発せられる。
4 アクティビティのブラックリスト
警告が発せられるのは、ブラックリストに登録されているアクティビティを含むすべてのアプリであり、主に、インストール時に広告を表示される追加機能などがチェックの対象となっている。
アクティビティのブラックリスト化そのものは特段悪いものではないものの、これらの偽装アプリにおける実装の仕方は粗雑きわまりない。例えば、Google Adsは正規のサービスであるにもかかわらず、ESETが分析したアプリのブラックリストに登録されている。
セキュリティの追加「機能」
偽装アプリのうちのいくつかは、ユーザーのアプリをパスワードもしくは画面ロックにより保護できる。こうした特徴は一見すると有益に見えるが、選択したアプリ以外に、別の何かをユーザーに提供しようという考えがあるように見える。
実際のところ、この機能は、安全ではない実装であるため、ユーザーに真のセキュリティを提供できない。
問題は、デバイス上にデータ保存するやり方が安全ではないということである。暗号化の利用はサイバーセキュリティの世界では共通の必須事項であるが、これらのアプリは、ロックされたアプリの名前と、それらをアンロックするパスワードを暗号化せずに平文で保存しているのである。これは、デバイスがルート化(Androidシステムにおいて、管理者権限を取得し、利用者が通常利用できないOSの制限を解除させる行為。)された後にはデータにアクセス可能になることを意味している。
スマートフォンをルート化して暗号化されていないデータに不正アクセスが可能になるのに加え、アプリロックをバイパスする別の方法が存在する。デバイスに物理的にアクセスできる攻撃者は、アプリロックのパスワードを知ることなく、それを新たなパスワードに変更できてしまうのである。
結論
Androidスマートフォンにウイルス対策アプリを用意すること、これは間違いなく正しい。しかし、アプリ名の中で「セキュリティ」や「ウイルス対策」を名乗っているアプリのすべてが、その名の通りのことをしてくれるとは限らない。インストールする前に、このツールに頼って大丈夫かどうか、熟考してほしい。
本記事にて紹介した35種類の偽装ウイルス対策アプリは、ランサムウェアやその他の本格的なウイルスに対応していない。これらのアプリによって生じる害は、不快な広告を表示し、誤検知をし、被害者に間違ったセキュリティの感覚を与えることだけである。しかし、こうしたアプリをダウンロードした何百万人もの不注意なユーザーは、偽装をする本当のウイルスをいつかダウンロードしかねない。
こうした、見かけの良い名前とアイコンを持ち、風変わりで裏付けのない約束をするような怪しげなアプリではなく、評判の良いウイルス対策アプリを探すことが望ましい。では、どれを選ぶべきか――信頼のある第三者テスト機関によるテスト結果がその判断の手助けとなるだろう。
IoCs(危殆化指標=マルウェア感染の疑いを確認するための指標)
ESET検出名: Android/Blacklister.A (潜在的に望ましくないアプリケーション)】
アプリ名 | パッケージ名 | インストール数 |
---|---|---|
Virus Cleaner Antivirus 2017 - Clean Virus Booster | com.sta.viruscleaner.antivirus | 1,000,000+ |
Super Antivirus & Virus Cleaner (Applock, Cleaner) | com.superantivirus.mobilesecurity | 1,000,000+ |
hAntivirus - Security | com.noah.antivirus | 1,000,000+ |
Antivirus Security free | com.xplusapps.antivirus.free | 500,000+ |
Antivirus 2018 | com.gotechgo.antivirus.mobilesecurity2018 | 500,000+ |
Antivirus Clean | com.mobileapp.virus | 500,000+ |
Security Antivirus 2018 | muel.security.antivirus | 500,000+ |
Max Security - Antivirus&Booster &Cleaner | com.stranger.maxsecurity | 500,000+ |
Antivirus Cleaner - Virus Scanner And Junk Remover | com.applock.security.viruscleaner | 100,000+ |
Antivirus Security Free | com.rgamewall.anti2018 | 100,000+ |
Antivirus Cleaner For Android & App Locker Pattern | com.antivirusforandroid.freeapp | 100,000+ |
Antivirus Security | dhl.freesecure | 100,000+ |
Smadav antivirus for android 2018 | com.smallapp.antivirus | 50,000+ |
Antivirus Free : Process Virus | com.greenbooster.process | 50,000+ |
TV Antivirus Free + Applock | toto.prosecurity | 50,000+ |
Antivirus Virus Cleaner - Security Applock 2017 | com.viruscleaner.antivirus.security | 50,000+ |
Super Security-Anti Virus, Phone Cleaner & Booster | com.supersecurity.cleaner | 10,000+ |
Antivirus Free + Virus Cleaner + Security App | antivirus.cleaner.security.scanner | 10,000+ |
Antivirus Pro - Virus Cleaner - Boost Mobile free | com.fantabulous.antiviruspro.viruscleaner | 10,000+ |
Virus Clean Antivirus - Cpu Cooler & Ram Master | com.msysoft.viruscleaner.cleanvirus | 10,000+ |
360 Secure Antivirus | com.ufgames.antivirus | 10,000+ |
Antivirus Cleaner Booster | com.best.apps.collection.antivirus | 10,000+ |
Antivirus Android 2018 | com.looptoop.antivirus.android2018 | 10,000+ |
Antivirus & Virus Remover 2018 | com.glagahstudio.viruscleaner.booster | 10,000+ |
Antivirus Free 2018 | com.lalbazai.antivirus.mobilesecurity2018 | 5,000+ |
Kara Security Manager Antivirus | kara.securitymanager.antivirus | 5,000+ |
Security Antivirus 2018 | jts.security.mobile | 5,000+ |
Antivirus & Virus Cleaner & Security | oriwa.antivirus.cleanvirus | 5,000+ |
Master Antivirus Booster App Lock | com.boostercleaner.antivirus.mobilesecurity | 5,000+ |
Virus Cleaner - Antivirus,Booster,Security&AppLock | com.radiantappsworld.securityantivirus | 5,000+ |
Smart Security Antivirus & Applocker & Cleaner | org.orangina.antivirusmobilesecurity | 1,000+ |
Antivirus 2017 & Virus Removal | com.bsm.multisecurity | 1,000+ |
Energy Antivirus Cleaner | com.energy.antivirus.cleaner | 1,000+ |
Antivirus Master-Applock Pro | com.octa.anti.antivirus | 500+ |
AntiVirus Mobile Security for Android - Free | com.mobicluster.mobile.security.antivirus | 100+ |