マカフィー、Androidアプリで新種の「トロイの木馬」を発見～“偽物”モードでPlayストアの審査を回避

　マカフィーのモバイルリサーチチームは、Google Playストアで配信されていた144個のAndroidアプリに「トロイの木馬」化されたマルウェアが含まれていたことを発見した。

　同社はこのマルウェアを「Grabos」と名付け、9月にGoogleへ報告。現在はPlay Storeから削除されている。

審査時は正当なアプリに偽装

　Grabosが最初に発見されたのは、無料のオーディオプレーヤーアプリ「Aristotle Music audio player 2017」。同アプリは公開停止になる前、100～500万回インストールされていた。

　このアプリの正体は著作権保護を回避する音楽ダウンローダー。こうしたアプリはGoogleの規約によってストアでの公開が禁じられているが、特定の条件下においては正当なアプリとしてふるまう偽装モードが実装することで、Google Playのセキュリティ対策を回避していた。

　アプリは起動時にインストールされている端末が開発者向けの設定になっていないか、エミュレーター上で起動されていないかを判定。開発者モードやエミュレーター環境では、偽装モードで起動する。

　この仕掛けにより、審査者の前では正当な音楽プレイヤーアプリやファイラーアプリとしてふるまっていた。

　また、偽装モードのコードは難読化されており、コードからの解析も困難にしている。

デバイスの情報を送信、他のアプリのインストールをうながす

　GrabosにはGoogle Playを回避するだけではなく、バックグラウンドでユーザーの意図しない挙動をする仕組みが実装されている。

　端末がネットワークに繋がっている場合、デバイスの通信環境などの情報を外部のサーバーを送信する。あわせて、FacebookやLINEといったSNSアプリや、一部のGoogle製のアプリのインストール状況も確認しているという。

Grabosがインストール状況を送信していたアプリ

　プッシュ通知機能では、アプリの評価を促す通知のほか、サーバー側で設定した任意の内容を表示する。そして、サーバー側で指定した任意のアプリをダウンロードし、実行する仕組みを搭載している。通知機能とダウンロード機能を併用して、ユーザーにアプリのインストールを促す目的と推測される。

　同社はGrabosの主な目的を、アプリをインストールさせた見返りとして広告収入を得ることだと判断し、Grabosはサイバー犯罪者がマルウェアをインストールさせるために有用な機能を備えていると指摘する。

　なお、マカフィーが解析を進めている期間には、アプチのインストールを促す通知が実際に送信されることはなかったという。

　マカフィーは公式ブログにてGrabosの発見を報告。発見した144個のアプリのパッケージ名一覧を掲載している。