App Storeにある17のアプリがトロイの木馬マルウェアに感染

クリッカー型のトロイの木馬の大半は、特定のウェブサイトへのトラフィックを増加させ、クリックごとの支払いを増加させて収益を生み出すことを目的としています。広告ネットワークへの支払い負担を人為的に増加させることで競合他社の予算を枯渇させることも可能としています。

こういったアプリはトロイの木馬のクリッカーモジュールに感染しているので、Jamfのマルウェア分類では「カテゴリ」トロイの木馬に分類されます。

マルウェアとして分類する理由

クリッカー型のトロイの木馬は、広告ネットワークやウェブサイトに頻繁に接続して訪問者のカウント数を人為的に増加させたり、クリック毎に収益を発生させる広告詐欺を行うマルウェアとしてよく知られています。

この分類は、MalwarebytesやF-Secureなどのセキュリティ業界でも使用されているものと一致しています。

感染したアプリについて

感染した17のアプリは、仕事の効率化、プラットフォームユーティリティ、旅行といったランダムなアプリケーションカテゴリに及んでいます。感染したアプリのリストは以下の通りです：

• RTO Vehicle Information
• EMI Calculator & Loan Planner
• File Manager – Documents
• Smart GPS Speedometer
• CrickOne – Live Cricket Scores
• Daily Fitness – Yoga Poses
• FM Radio – Internet Radio
• My Train Info – IRCTC & PNR (not listed under developer profile)
• Around Me Place Finder
• Easy Contacts Backup Manager
• Ramadan Times 2019
• Restaurant Finder – Find Food
• BMI Calculator – BMR Calc
• Dual Accounts
• Video Editor – Mute Video
• Islamic World – Qibla
• Smart Video Compressor

感染した17のアプリはインドを本拠地とする開発者AppAspect Technologies PvtLtd.によって、さまざまな国のApp Storeで公開されています。

調査が行われた時点では、この開発者はApp Storeで51のアプリを公開しています。なお、App Storeには「My Train Info」という同じ開発者による感染したアプリが現在も公開中ですので注意してください。

この開発者による全ての無料iTunesアプリをテストしましたが、35のアプリのうち17の無料版のアプリが同様の悪意のあるクリッカー機能に感染し、同じC&Cサーバと通信していることが判明しました。

このC&CサーバはAndroidを対象としたクリッカー型のトロイの木馬攻撃として、最初にDr.Webによって報告されたものです。

C&Cサーバについて

Dr.Webの調査によると、C&Cサーバは感染したアプリにコマンドを送信してターゲット広告やウェブサイトのサイレントローディング、デバイスのリモート再設定を引き起こします。例として、感染したアプリをインストール後、高額なコンテンツサービスの不正契約をさせられたユーザもいました。

Jamfが特定したアプリはリサーチャーがまだ解読していない強力な暗号アルゴリズムを使用して、同じC&Cサーバと通信します。Dr. Webの報告によると、同じサーバと通信するAndroidアプリは、デバイスのメーカーと機種、ユーザの居住国、様々な構成の詳細といった個人情報をユーザのデバイスから収集していました。

アプリのC&Cインフラストラクチャの潜在的な危険性

Command & ControlはAppleの視界に入っていない攻撃者と直接、通信チャネルを有効にし、悪意のあるアプリがセキュリティチェックを回避できるようにします。C&Cチャネルは、広告の配布（iOSを狙ったクリッカー型のトロイの木馬が使用するものなど）や、コマンド、ペイロード（不正な画像ファイル、ドキュメントなど）を配布するために使用できます。C&Cのインフラストラクチャは端的に言えば、脆弱性が発見された時やハッカーが元のアプリでは隠れている追加コードを起動させたときに悪用されかねないアプリへの「裏口」です。

新たに発見された脆弱性が、個人のユーザ情報の紛失、サンドボックスの破壊といった結果につながった事例は数多くあります。以前に、Appleは公表された脆弱性に気づかず、自社製品に再度導入してしまったことがあります
関連するiOSの脆弱性と悪用事例

• アクセシビリティ機能を使用してUberアプリが、ユーザのLyftの使用状況を監視
• Chromeのセキュリティ上の欠陥により、iOSサンドボックスの擦り抜け
• AppleがJailbreakの欠陥をiOSへ再導入

開発者についての詳細

Jamfの調査によると、iOS開発者であるAppAspect TechnologiesがDr. Webによって特定されたものと同じC&Cサーバを活用していたことが分かりました。

AppAspect Technologiesは、Google Play Storeに現在28のアプリを公開しています。JamfはAppAspectのこれらのアプリをテストし、その結果、この開発者によるAndroidアプリは判明したC&Cサーバと通信していないことが分かりました。

しかし追加調査によると、AppAspectのAndroidアプリは以前、マルウェアに感染し、ストアから削除されていたことも明らかになりました。それ以降アプリは再公開され、悪意のある機能は埋め込まれていません。悪意のあるコードが開発者によって意図的に追加されたのか、それとも意図せずに追加されたのかは不明です。

Jamfの責任ある開示プロセス

AppleのApp Storeでは、悪意のあるアプリを報告するための明確なプロセスは提供されていません。しかし、本調査を発表する前にJamfはAppleのチームと直接話す機会を持ちました。Appleの自社製品のセキュリティを担当するチームで、以前当社と一緒に働いたことがある人達です。

Jamfの脅威調査チームによって脆弱性が発見された時には、それがOS、モバイルアプリまたはウェブサイトであっても脅威を削除するために、Jamfでは影響を受けたベンダー（この場合はApple）と早急に関連情報と推奨事項を共有することを最優先事項としています。

企業方針として、Jamfはマルウェア開発者と関わりを持ちません。Jamfではユーザからアクティブな脅威を削除し、正規開発者がコード内の脆弱性を修正できるようサポートすることに焦点を当てています。

Appleの対応

Appleは、今後も引き続き監視していく2つのアプリ（「My Train Info – IRCTC & PNR」および「Easy Contacts Backup Manager」の2つ）を除いて、すべての危険なアプリを取り除きました

Help Net Securityには次のような記事が掲載されています：「Appleの担当者が、広告の人為的なクリックスルーを可能にするコードを持った18のアプリを削除（ガイドラインの違反）し、今後こういったタイプのアプリの提出を検出するためのツールを更新したと発表」

推奨事項

今回の発見は公式のモバイルアプリストアで一連の悪質なアプリが表面化した最新事例で、マルウェアがiOSのエコシステムに影響を及ぼしていることを証明するものです。モバイル端末向けのマルウェアは現在では起こる頻度は少ないものの、標的型攻撃のシナリオではより多く使用されていることが分かっています。 この例で使われたような手法は、公式アプリのソースにマルウェアが埋め込まれる事例が増えたことからも、一般ユーザや業務でモバイルデバイスを利用する人にとってより身近になっていることを示します。

アプリ（特に無料版アプリ）が信頼できるか（例えば評価数や、開発者が正規プロファイルを所持しているか）を確認することで、アプリが不必要にリスクの高いアプリ権限許可を要求していないことを確認できます。そのため、モバイルデバイスに対応している企業は何らかの形でアプリのセキュリティ審査を受けることを推奨しています。 

さらに、BYODと企業の責任を負うデバイスの両方について、JamfはモバイルデバイスにC&Cトラフィックとマルウェアアプリが試みる外部への接続をブロックできるモバイルセキュリティソリューションを導入し、お客様の機密データを確実に保護することを推奨しています。 これにより、もしマルウェアがモバイルデバイスにインストールされたとしても、その機能が大幅に制限され組織のデータを確実に保護することができます。 

* Jamfの初期リストには、異なる地域のApp Storeでホストされ、異なるメタデータを含む2つのクリケットスコアアプリ「CrickOne」が含まれています。慎重なレビューの結果、これらのアプリには同じコードベースが使用されていることを確認しました。そして、感染したアプリ総数は17に調整されました。