Google Play Store にマルウェアが出回る理由:G 先生の言い訳を聞かせてもらおう

Google explains how Android malware slips onto Google Play Store

2023/08/04 BleepingComputer — Google Play ストアの審査プロセスやセキュリティ制御を回避して、Android 端末にマルウェアを送り込むために脅威アクターたちが用いる、バージョニングと呼ばれる一般的な手口が存在することを、Google Cloud のセキュリティ・チームは認めた。この手口は、すでにインストールされているアプリケーションに配信されるアップデートを介して、悪意のペイロードを導入するものである。また、DCL (Dynamic Code Loading) という方法で、脅威アクターの制御下にあるサーバから。悪意のあるコードをロードする方式もある。DCL は、アプリストアの静的解析チェックを回避することで、ネイティブ/Dalvik/JavaScript のコードとして、ペイロードを Android デバイス上に展開するものである。


Google Play のセキュリティ制御を回避しようとする、脅威アクターたちが用いる方法の1つはバージョニングである。

このレポートには、「開発者が Google Play ストアでアプリの初期バージョンをリリースする際に、バージョン管理が発生する。このバージョンは、Google のチェックに合格した正規のアプリのように見えるが、その後にサードパーティのサーバからアップデートが提供され、エンドユーザー端末のコードが変更され、悪意の行為が取り込まれる場合がある」と記されている。

Google の主張は、Play ストアに登録するために提出された、すべてのアプリケーションとパッチは、厳格な PHA (Potentially Harmful Application) スクリーニングを通過するというものだが、DCL を介して制御の一部がバイパスされている。

Play Store security controls bypass through versioning (DCL)
Play Store security controls bypass through versioning (Google)

Google の説明は、このような行為を行うアプリケーションは、Google Play の Deceptive Behavior ポリシーに違反し、バックドアとみなされる可能性があるというこのだ。

同社の Play Policy Center のガイドラインによると、Google Play を通じて配布されるアプリは、Google Play が提供する公式のアップデート・メカニズム以外の手段で、自身を変更/置換/アップデートすることが明確に禁止されている。

さらに、アプリが実行可能コード (dex/JAR/ファイルなど) を外部ソースから、公式の Android App Store にダウンロードすることも固く禁じられている。

2021年10月に Cleafy の脅威インテリジェンス・チームにより発見され、この手法を野放し状態で悪用していた、SharkBot というマルウェア亜種について、Google は取り上げている。SharkBot はバンキング・マルウェアであり、Android デバイスを侵害した後に、ATS (Automated Transfer Service) プロトコルを介して不正送金を行なうものだ。

Play ストア・システムによる検出を回避するために、SharkBot を操る脅威アクターは、Google Play 上で機能を制限したバージョンをリリースし、アプリの不審な性質を隠すという、現在では一般的な戦略を採用していた。しかし、このトロイの木馬化されたアプリを、ユーザーがダウンロードしてしまうと、マルウェアのフルバージョンが展開されてしまう。

Sharkbot は、Android のウイルス対策ソフトウェアなどの、さまざまなシステム・ユーティリティを装うことで、Google Play ストアのチェックを通過したアプリを介して、数千人のユーザーへの感染に成功している。

先日に ThreatFabric のセキュリティ研究者が公開した、別のモバイル・マルウェア難読化技術も悪用されていると、サイバー・セキュリティ・レポーターである Brian Krebs も強調している。

この手法は、Google のアプリ解析ツールを効果的に破壊し、悪意の APK (Android application packages) をスキャンできないようにする。その結果として、これらの、未検証というラベルが貼られている 有害な APK は、ユーザーのデバイスに正常にインストールされることになる。

Google Play を騒がせ続ける、多種多様なマルウェアが、どのようにして審査を通過し、その後に悪意のペーロードをダウンロードするのかという、これまでに語り尽くされてきた手口を、ようやく Google が認めたということなのでしょうか。よろしければ、Google Play で検索も、ご利用ください。