35種類ものAndroid向け偽装ウイルス対策アプリが発見される

この記事をシェア

ESETの研究者は、Googleの公式AndroidアプリストアであるGoogle Playで、ウイルス対策アプリとして登場した一連のアプリケーションの分析を行った。その結果、セキュリティ機能を持たずに、不要な広告と効果のない疑似セキュリティが提供されるだけのアプリを35種類、発見した。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

35種類ものAndroid向け偽装ウイルス対策アプリが発見される

第三者テスト機関であるAV-Comparativesによると、モバイル向けウイルス対策アプリにより提供される保護レベルには、かなり大きな違いがある。しかし、それらのソリューションの中の最低レベルのものでさえ、ウイルス対策アプリを装った疑わしいアプリよりも格段に良い。偽装アプリはユーザーに広告を表示させることだけを目的としているからである。2018年4月、公式AndroidアプリストアであるGoogle Playにおいて、こうした偽装アプリが35種類、発見された。

こうしたアプリは、数年間、検知されることがなかった。他方、Google Playの統計によると、これまでの累積で600万回以上インストールがなされた。ただし、この数のすべてが本当のインストールというわけではない。ボットにより偽のダウンロードを実施し、続いてポジティブなレビューを投稿してアプリのレーティングを上げるのは、常とう手段だからである。

35種類すべてのアプリについてESETは警告を発し、最終的にこれらはストアから削除された。

図 1 Google Play上で発見された35種類の偽装ウイルス対策アプリ

図 1 Google Play上で発見された35種類の偽装ウイルス対策アプリ

ウイルス対策を装うこれらのアプリは、広告により被害者を不快にさせるのみならず、深刻かつネガティブな副作用を生じさせる。ごく基本的なセキュリティ機能を偽装した結果、正当なアプリを不正として検知することがたびたびある。実際には、いくつかの単純な決め打ちされたルールによってのみセキュリティチェックが行われている。そして、最も重要なことだが、被害者に間違ったセキュリティ感覚を与え、不正アプリを使用するリスクを高めることになる。偽装ウイルス対策アプリでは、そうした不正アプリを検知できないのである。

ESETが分析した結果、これら35種類のアプリの中で、目立った特徴があるものはごくわずかである。1つは完全には無料ではなく、有料アップグレードを実施する。また1つはアプリ実行の許可・拒否を管理する「アプロッカー」(AppLocker)を実装しているものの、稚拙な作りでかつ簡単にバイパスできる。また1つはこのグループのその他すべてのアプリを危険であると警告を発する。その他、ESETブランドを悪用したアプリさえ存在する。

図 2 自身と他のウイルス対策アプリを「高リスク」として検知するアプリ

図 2 自身と他のウイルス対策アプリを「高リスク」として検知するアプリ

図3 自身を「高リスク」として警告するアプリ

図3 自身を「高リスク」として警告するアプリ

図4 「上位プラン」を提供しているアプリ

図4 「上位プラン」を提供しているアプリ

疑似セキュリティ機能

検知を回避するべく、怪しい広告を掲示するアプリはたいてい、一般的なモバイル向けウイルス対策アプリを模倣している。しかし、これらの「ウイルス検知メカニズム」は不完全かつ非常に稚拙であり、そのため、バイパスするのも容易であり、また誤検知を起こしやすい。

ESETがこれらの偽装アプリを研究した結果、「検知メカニズム」は4つのカテゴリーに分類される。これらのメカニズムは、ほぼすべてのアプリで共通している。

1 パッケージ名のホワイトリストとブラックリスト

ホワイトリストがFacebookやInstagram、LinkedIn、Skypeなどの人気のあるアプリを考慮している一方で、ブラックリストはセキュリティ機能として捉えるには登録数があまりにも少なく、不十分である。

図 5 人気アプリのホワイトリスト化

図 5 人気アプリのホワイトリスト化

2 パーミッションのブラックリスト

(正規アプリを含む)すべてのアプリについて、パーミッションリストにある、危険と考えられる項目を要求した際には、警告が発せられる。例えばSMSの送信、位置情報へのアクセス、カメラへのアクセスなどである。

図6 パーミッションのブラックリスト

図6 パーミッションのブラックリスト

3 ソースのホワイトリスト

公式AndroidストアであるGoogle Play以外からのアプリはすべて、たとえ完全に安全であるとしても、警告が発せられる。

4 アクティビティのブラックリスト

警告が発せられるのは、ブラックリストに登録されているアクティビティを含むすべてのアプリであり、主に、インストール時に広告を表示される追加機能などがチェックの対象となっている。

アクティビティのブラックリスト化そのものは特段悪いものではないものの、これらの偽装アプリにおける実装の仕方は粗雑きわまりない。例えば、Google Adsは正規のサービスであるにもかかわらず、ESETが分析したアプリのブラックリストに登録されている。

図 7 アクティビティのブラックリスト

図 7 アクティビティのブラックリスト

セキュリティの追加「機能」

偽装アプリのうちのいくつかは、ユーザーのアプリをパスワードもしくは画面ロックにより保護できる。こうした特徴は一見すると有益に見えるが、選択したアプリ以外に、別の何かをユーザーに提供しようという考えがあるように見える。

実際のところ、この機能は、安全ではない実装であるため、ユーザーに真のセキュリティを提供できない。

問題は、デバイス上にデータ保存するやり方が安全ではないということである。暗号化の利用はサイバーセキュリティの世界では共通の必須事項であるが、これらのアプリは、ロックされたアプリの名前と、それらをアンロックするパスワードを暗号化せずに平文で保存しているのである。これは、デバイスがルート化(Androidシステムにおいて、管理者権限を取得し、利用者が通常利用できないOSの制限を解除させる行為。)された後にはデータにアクセス可能になることを意味している。

スマートフォンをルート化して暗号化されていないデータに不正アクセスが可能になるのに加え、アプリロックをバイパスする別の方法が存在する。デバイスに物理的にアクセスできる攻撃者は、アプリロックのパスワードを知ることなく、それを新たなパスワードに変更できてしまうのである。

図 8 ユーザーデータを平文にて保存するアプリロック機能付きの偽装アプリの一つ

結論

Androidスマートフォンにウイルス対策アプリを用意すること、これは間違いなく正しい。しかし、アプリ名の中で「セキュリティ」や「ウイルス対策」を名乗っているアプリのすべてが、その名の通りのことをしてくれるとは限らない。インストールする前に、このツールに頼って大丈夫かどうか、熟考してほしい。

本記事にて紹介した35種類の偽装ウイルス対策アプリは、ランサムウェアやその他の本格的なウイルスに対応していない。これらのアプリによって生じる害は、不快な広告を表示し、誤検知をし、被害者に間違ったセキュリティの感覚を与えることだけである。しかし、こうしたアプリをダウンロードした何百万人もの不注意なユーザーは、偽装をする本当のウイルスをいつかダウンロードしかねない。

こうした、見かけの良い名前とアイコンを持ち、風変わりで裏付けのない約束をするような怪しげなアプリではなく、評判の良いウイルス対策アプリを探すことが望ましい。では、どれを選ぶべきか――信頼のある第三者テスト機関によるテスト結果がその判断の手助けとなるだろう。

IoCs(危殆化指標=マルウェア感染の疑いを確認するための指標)

ESET検出名: Android/Blacklister.A (潜在的に望ましくないアプリケーション)】

35種類のアプリ名
アプリ名 パッケージ名 インストール数
Virus Cleaner Antivirus 2017 - Clean Virus Booster com.sta.viruscleaner.antivirus 1,000,000+
Super Antivirus & Virus Cleaner (Applock, Cleaner) com.superantivirus.mobilesecurity 1,000,000+
hAntivirus - Security com.noah.antivirus 1,000,000+
Antivirus Security free com.xplusapps.antivirus.free 500,000+
Antivirus 2018 com.gotechgo.antivirus.mobilesecurity2018 500,000+
Antivirus Clean com.mobileapp.virus 500,000+
Security Antivirus 2018 muel.security.antivirus 500,000+
Max Security - Antivirus&Booster &Cleaner com.stranger.maxsecurity 500,000+
Antivirus Cleaner - Virus Scanner And Junk Remover com.applock.security.viruscleaner 100,000+
Antivirus Security Free com.rgamewall.anti2018 100,000+
Antivirus Cleaner For Android & App Locker Pattern com.antivirusforandroid.freeapp 100,000+
Antivirus Security dhl.freesecure 100,000+
Smadav antivirus for android 2018 com.smallapp.antivirus 50,000+
Antivirus Free : Process Virus com.greenbooster.process 50,000+
TV Antivirus Free + Applock toto.prosecurity 50,000+
Antivirus Virus Cleaner - Security Applock 2017 com.viruscleaner.antivirus.security 50,000+
Super Security-Anti Virus, Phone Cleaner & Booster com.supersecurity.cleaner 10,000+
Antivirus Free + Virus Cleaner + Security App antivirus.cleaner.security.scanner 10,000+
Antivirus Pro - Virus Cleaner - Boost Mobile free com.fantabulous.antiviruspro.viruscleaner 10,000+
Virus Clean Antivirus - Cpu Cooler & Ram Master com.msysoft.viruscleaner.cleanvirus 10,000+
360 Secure Antivirus com.ufgames.antivirus 10,000+
Antivirus Cleaner Booster com.best.apps.collection.antivirus 10,000+
Antivirus Android 2018 com.looptoop.antivirus.android2018 10,000+
Antivirus & Virus Remover 2018 com.glagahstudio.viruscleaner.booster 10,000+
Antivirus Free 2018 com.lalbazai.antivirus.mobilesecurity2018 5,000+
Kara Security Manager Antivirus kara.securitymanager.antivirus 5,000+
Security Antivirus 2018 jts.security.mobile 5,000+
Antivirus & Virus Cleaner & Security oriwa.antivirus.cleanvirus 5,000+
Master Antivirus Booster App Lock com.boostercleaner.antivirus.mobilesecurity 5,000+
Virus Cleaner - Antivirus,Booster,Security&AppLock com.radiantappsworld.securityantivirus 5,000+
Smart Security Antivirus & Applocker & Cleaner org.orangina.antivirusmobilesecurity 1,000+
Antivirus 2017 & Virus Removal com.bsm.multisecurity 1,000+
Energy Antivirus Cleaner com.energy.antivirus.cleaner 1,000+
Antivirus Master-Applock Pro com.octa.anti.antivirus 500+
AntiVirus Mobile Security for Android - Free com.mobicluster.mobile.security.antivirus 100+
この記事をシェア

Androidのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!