McAfee Blog
マカフィー株式会社公式ブログ

McAfee, Inc.

McAfee Labs] 2016年7月11日 更新

野生の偽 “Pokémon GO” があらわれた!

 

Pokémon GOは、スマートフォンの位置情報やカメラ機能を使い、実世界とリンクした拡張現実の世界でポケモンを “ゲット” して遊ぶことができる、今とても注目を集めている新しいモバイルゲームです。このゲームは、7月6日にApple App StoreやGoogle Playストアといった公式マーケットから地域限定(オーストラリアやニュージーランド、1日遅れで米国)で公開されました。このアプリの開発者は、その他の地域でもすぐに遊べるようになるだろうとコメントしていますが、多くのポケモンファンは公式リリースまで待ちきれず、いち早くこのゲームで遊びたい一心で、セキュリティリスクがある非公式のサイトでこのゲームアプリを探し求めています。

このような状況を考慮すると、このゲームアプリを模倣したマルウェアが発見されるのも時間の問題でした。私たちインテル セキュリティのモバイルマルウェアリサーチチームは、このゲームアプリが地域限定で公開された翌日、正規アプリに悪意あるコードが仕込まれた偽の "Pokémon GO" のマルウェアを発見しました。そのマルウェアのファイル名には、ファイル共有サイト "apkmirror.com" で二次配布されていた正規アプリと類似した名称がつけられていたことから、別のサイト等で配布されていたものと推測しています。

このマルウェアを最新のAndroidデバイスにインストールするとき、公式アプリと同様に特別なアクセス権限は要求されません。

Image1

しかしながら、このマルウェアの起動時に、SMSメッセージの送信や閲覧といったゲームとは関係のないアクセス権限が要求されます。

Image2

これは実行時に権限を要求するランタイムパーミッションをサポートするAndroid 6.0以降の端末での動作であり、それより古い端末ではインストール時にアクセス権限が要求されます。ユーザーがインストール時または実行時にすべてのアクセス権限を許可することによってゲームを開始することができますが、このマルウェアの場合、ネットワーク状態の変化やデバイス起動時に、悪質なサービス “Controller” がバックグラウンドで動作するようになっています。

Image3

この悪質なサービスは、DroidJack (別名:SandroRAT) という遠隔操作ツールによって正規アプリに埋め込まれたものです。DroidJackは2014年頃から長期にわたり有償($210)で販売されていたツールで、特に目新しいものではありません。その利用規約には犯罪への加担や法律に違反することに対する使用を禁止する記載がありますが、2014年8月に発見されたポーランドの銀行ユーザを狙ったマルウェアではこのツールが悪用されていました。おそらく、この事件をきっかけとして、2015年10月にヨーロッパ諸国と米国の国際警察によって、このツールの使用者に対する家宅捜索や逮捕が行われましたが(英文記事)、私たちが今回発見したマルウェアで使われていたように、この遠隔操作ツールは今もなお悪用され続けているのです。

DroidJackは、感染した端末上であらゆるスパイ活動を行うことができます。具体的には、SMSメッセージ・通話履歴・電話帳・ブラウザ閲覧履歴・位置情報やインストールアプリの一覧といったユーザー情報を盗むことから、写真撮影・ビデオ録画・通話録音やSMS送信といった任意のコマンドをリモートから実行するといったことまでできるのです。このマルウェアの場合、トルコにあるサーバーと通信が行われており、アプリの起動情報が定期的に通知されていました。

Image4

さらに、デバイスのスリープ状態に関する端末情報もまた外部サーバーに通知されています。こういった情報は、たとえば、ユーザーに気づかれないようにブラウザで特定のリンクを開くために使われます。

Image5

人気アプリになりすましユーザを騙す行為は、マルウェアをインストールさせるための常套手段です。公式マーケットであっても100%安全と言い切れませんが、非公式なサイト(特にファイル共有サイト)と比較するとマルウェアへの感染リスクは非常に低くなります。仮に評判の良いサイトであったしても、このような理由から、あなたの地域で公式アプリが利用できるようになるまで、もうしばらく待つようにしてください。

マカフィーモバイルセキュリティは、この脅威を Android/SandroRAT として検出し、ユーザに通知するとともに、ユーザ端末を保護します。マカフィーモバイルセキュリティの詳細については http://www.mcafeemobilesecurity.com をご確認ください。

※本ページの内容は McAfee Blog の抄訳です。

原文: Trojanized Pokémon GO Android App Found in the Wild
著者: Carlos Castillo

必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリ ティソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

 

© 2003-2017 McAfee, Inc. All Rights Reserved.