2016 年 7 月 7 日 MARC LALIBERTE 著

Check Point のセキュリティ研究者が今週、Android の大規模マルウェア攻撃に関する 5 か月に及ぶ分析の後、HummingBad に関する調査結果（PDF）を発表しました。2016 年 2 月に初めて発見されて以来、このマルウェアは、不正な広告クリックやアプリのインストールによって、月 300,000 ドルを不当に得たとされ、約 1 千万台の Android デバイスを感染させたと推定されています。中国とインドのデバイスが感染台数で大きな割合を占める一方で、米国やメキシコなどの各国でも 25 万を超えるデバイスが被害を受けたとされています。

HummingBad は最初に、アダルトサイトをホストとするドライブバイダウンロード攻撃で新たな標的に侵入します。そして、感染の段階で、Android の既知の脆弱性を悪用して標的のデバイスのルートアクセスを取得しようとします。ルートアクセスの取得に失敗した場合は、偽のシステム更新通知でユーザーを騙し、システムレベルの権限を許可するよう指示します。このルートアクセス取得の過程で、悪意のある機能が実際に含まれるいくつかのコンポーネントやアプリケーションもダウンロードします。

前述のように、HummingBad の主な目的は、偽の広告やアプリをインストールして金銭を盗み取ることです。デバイスの起動、画面のロックや解除、ネットワーク接続の変更などのイベントがトリガーとなって、マルウェアのメインのプロセスが開始し、偽の「閉じる」ボタンを含む偽広告が表示されます。そして、標的となったユーザーが「閉じる」ボタンではなく広告をクリックすれば、HummingBad の作者がクリックから収益を得ることになります。これらのプロセスの全体を通して、ユーザーがホーム画面に戻らないように仕組まれているため、これらの偽広告の回避は極めて困難です。

これらの偽広告を誤ってクリックしてしまうと、さらに別の HummingBad プロセスが強制的にダウンロードされ、不要なアプリケーションがデバイスにインストールされることになり、マルウェアの作者が「インストールの紹介」と呼ばれる仕組みでさらなる違法な収入を得ることになります。Google Play には、「INSTALL_REFERRER」（インストールの紹介者）情報をアプリ開発者と共有するメカニズムがあります。このメカニズムは、誰かの紹介でユーザーがアプリを購入またはインストールすると、正当なアプリの開発者に手数料が支払われるというものです。HummingBad マルウェアは、高度なプロセスインジェクションのテクニックによって、Google Play のこの「インストールの紹介」プロセスを悪用しています。Google Play ストアとそっくりのインストール/購入/同意ボタンを使って、アプリの「インストールの紹介」を装います。また、アプリのインストール時に偽のIMEI（国際移動局装置識別番号）を挿入することで、同じアプリを同じデバイスに何回もインストールできるようにしています（これによって、犯罪者がさらに多くの収入を得ることになります）。

標的となったデバイスが偽広告の被害をある程度逃れたとしても、HummingBad がルート権限を使ってさらなる不正アクセスを続行する可能性は残されています。完全なシステム権限があれば、HummingBad に感染した多数のデバイスを使って簡単に DDoS 攻撃を開始でき、もちろん、デバイスそのものに別のマルウェアをロードすることもできます。

Check Point の報告では、中国の広告・分析会社である Yingmob との関連性が指摘されていますが、この会社は、2015 年末にかけて発見された iOS のマルウェア「Yispecter」にも関与していたとされています。Yingmob のアプリケーションの概算インストール実績は、正規/不正を合わせて 8500 万デバイスとされています。つまり、恐ろしいことに、Yingmob が悪意のある更新プログラムを 1 つ仕掛ければ、膨大な数のデバイスに感染が広がることになります。

Android ユーザーには、次のような、いくつかのデバイス保護対策が必要です。

1. 第一に、自分のデバイスをルート化しないでください。ルート化には、通信事業者が通常は無効にしている便利な機能を有効にできるというメリットがありますが、同時に、ドライブバイダウンロード攻撃でマルウェアがインストールされるリスクが格段に高くなります。
2. 第二に、最新のパッチを常にデバイスに適用するようにします。最新の OS アップデートを実行することで、HummingBad などのマルウェアのインストールを可能にする脆弱性が少なくなります。Google は通信事業者に対して、Android の独自のバージョンをパッケージ化することを許可しているため、通信事業者によっては、最新の Google Android バージョンを使用していないことがあります。そのため、デバイスそのものよりも通信事業者の方が、デバイスのセキュリティにおいて重要な役割を果たすとも言えます。
3. 第三に、不明な提供元からのアプリケーションを絶対にインストールしないようにします。Android ではデフォルトで、Google Play ストアから入手できないアプリケーションをユーザーがインストールできないように設定されています（サイドローディングの禁止）。この設定を無効にすると、HummingBad などの悪質なアプリケーションがインストールされるリスクがあります。

HummingBad は、携帯デバイスを標的にする、急増する攻撃の一例に過ぎません。世界中に約 20 億台あるとされているスマートフォンが、このような攻撃の標的になる可能性があります。スマートフォンのユーザーは、このような大規模攻撃の標的になるリスクを十分に認識する必要があります。– Marc Laliberte