Goldoson という新しい Android マルウェア:Google Play 上の アプリ 60件に侵入

Android malware infiltrates 60 Google Play apps with 100M installs

2023/04/15 BleepingComputer — Goldoson と命名された新しい Android マルウェアが、合計で1億本もダウンロードされている、60 件の正規アプリを介して Google Play に侵入した。これらのアプリの開発者たちは、サードパーティ・ライブラリの一部として、この悪意のマルウェア・コンポーネントを無意識のうちにアプリに組み込んでいたという。

以下は、影響を受けたアプリの一部だ:

  • L.POINT with L.PAY:1,000 万ダウンロード
  • Swipe Brick Breaker:1,000 万ダウンロード
  • Money Manager Expense & Budget:1,000 万ダウンロード
  • GOM Player:500 万ダウンロード
  • LIVE Score, Real-Time Score:500 万ダウンロード
  • Pikicast:500 万ダウンロード
  • Compass 9 – Smart Compass:100 万ダウンロード
  • GOM Audio – Music, Sync lyrics:100 万ダウンロード
  • LOTTE WORLD Magicpass:100 万ダウンロード
  • Bounce Brick Breaker:100 万ダウンロード
  • Infinite Slice:100 万ダウンロード
  • SomNote – Beautiful note app:100 万ダウンロード
  • Korea Subway Info: Metroid:100 万ダウンロード

Goldoson を発見した McAfee の研究者たちによると、このマルウェアは、インストールされたアプリや、WiFi/Bluetooth 接続されたデバイス、GPS などからデータ収集を行い、ユーザーの同意なしにバックグラウンドで広告を表示させ、広告詐欺をなど実行するようだ。

Android デバイスからデータを盗み出す

それらのアプリをユーザーが起動すると、Goldoson が仕込まれたライブラリはデバイスを登録し、ドメインを難読化したリモート・サーバから設定を受け取る。

この設定には、Goldoson が感染した端末したデバイス上で、どのデータ窃取や広告クリック機能を、どのくらいの頻度で実行するかを指定するパラメータが含まれている。

Goldoson configuration
Goldoson の設定 (McAfee)

このデータ収集機能は、通常は2日ごとに起動するように設定されており、インストールされているアプリの一覧/地理情報の履歴/Bluetooth や WiFi で接続されたデバイスの MAC アドレスなどを、C2 サーバに送信する。

JSON request that exfiltrates data
データを流出させる JSON リクエスト (McAfee)

データ収集のレベルは、感染しているアプリがインストールされた時に付与される権限と、Android のバージョンに依存する。Android 11 以上は、任意のデータ収集に対する保護が強化されている。しかし McAfee は、最新バージョンの OS であっても、Goldoson に汚染されたアプリの 10% においては、機密データを収集するのに十分な権限を持っていることを確認している。

広告クリック機能は、HTML コードをロードしてカスタマイズされた隠し WebView に注入し、それを使って複数の URL への訪問を秘密裏に実行し、広告収入を得ることになる。なお、ユーザーは、自分のデバイス上で、この挙動の痕跡を確認できない。

Goldoson's ad-clicking activity
Goldoson の広告クリック活動 (McAfee)
ライブラリは削除されたが、リスクは残存している

McAfee は、Google App Defense Alliance のメンバーとして、Google Play をマルウェア/アドウェアの脅威からクリーンに保つための支援を行っている。そのため研究者たちは、Google に調査結果を報告し、影響を受けたアプリの開発者たちには、それぞれの状況に応じた警告が発出された。

影響を受けたアプリの多くでは、問題のあるライブラリを、開発者が削除することでクリーンアップが行われた。対応が間に合わなかったアプリは、ストアのポリシーに準拠していないとして、Google Play からアプリが削除された。

Google は、「ユーザーと開発者の安全は、Google Play の中核をなすものだ。ポリシーに違反するアプリを発見した場合には、適切な措置をとる。我々は、Google Play のポリシーに違反しているアプリの開発者たちに、コンプライアンスに準拠するために修正が必要であることを通知した」と、BleepingComputer に述べている。

Google Play から、Goldoson を仕込まれたアプリをインストールしてしまったユーザーは、利用可能な最新のアップデートを適用することで、リスクを排除できる。

しかし、Goldoson はサードパーティの Android アプリストアにも存在しており、そこでは、依然として悪意のライブラリが保持されている可能性が高い。

アドウェア/マルウェアに感染した場合の、一般的な兆候として挙げられるのは、デバイスの発熱/バッテリーの急速な消耗/デバイス非使用時のデータ使用量の上昇などである。確認してほしい。

Google Play 上に、マルウェアが仕込まれたアプリが混入というインシデントは、これまでにも何度かありましたが、 これほどの規模のものは初めてだと思います。複数のアプリ開発で使用されるライブラリに、マルウェアを仕込むという、サプライチェーン攻撃の怖さを実感するインシデントです。なお、文中のトップには、合計で1億本のアプリと記されていて、その下のリストを足してみても、1億は足らないという食い違いがありますが、そのままに訳しています。

2022/12/04:Google Play:1M DL の TubeBox などを発見
2022/10/28:Google Play:5つの金融ドロッパー・アプリ
2022/10/20:Clicker マルウェア 16種類:20M DL

%d bloggers like this: