ダウンロード毎に変異するトロイの木馬、Android に登場 28
ストーリー by reo
遅効性ウィルスの登場はまだか 部門より
遅効性ウィルスの登場はまだか 部門より
capra 曰く、
Symantec は、ダウンロード毎に変異を行う Android 向けマルウェアが見つかったことを明らかにした (TechWorld の記事、本家 /. 記事より) 。
このマルウェアは SMS を利用したトロイの木馬であり、毎回変異することによってアンチウィルスソフトウェアからの検出を免れる手口を使っているとのこと。「サーバサイド・ポリモーフィズム」と呼ばれるこの仕組みはデスクトップ向けマルウェアでは何年も前から存在していたが、モバイル端末向けのマルウェアで使われ始めたのはつい最近とのことだ。
ユーザがアプリケーションを手に入れる Android Market ではこのような手口のマルウェア配布は許可されていないため、直ちに広まる恐れはないとのこと。ただしデスクトップ向けマルウェアの様々な手口はこれからもモバイル端末向けに展開されることが予想されるため、今後はより一層高度なセキュリティ対策が求められるようになるとのことだ。
日本語情報など (スコア:5, 参考になる)
今回の件に関する日本語情報です。
これって、「ダウンロード毎に変異を行うAndroid向けマルウェア」を見つけたというより、「ダウンロードのたびに、Android向けマルウェアに改変を加えるアプリ配布サイト(マーケット)」を見つけたということですよね。
で、「サーバサイド・ポリモーフィズム」というのは、マルウェアの種類や手口ではなく、マルウェアを配布する手口と理解しました。サーバーでやる話なので、Android Marketでこの手口が使えないのは当然だと思います。
記事にもあるように、Windows向けウイルスの配布方法としては、以前からよくある手口のようです。
姿を変えるウイルスの脅威! 対策ソフトの検出率で観測 [nikkeibp.co.jp]
Android Market ではこのような手口のマルウェア配布は許可されていない (スコア:0)
違う手口のマルウェア配布は許可されている?
Re:Android Market ではこのような手口のマルウェア配布は許可されていない (スコア:2)
見つかってないだけで普通のマルウェアはなんぼでもMarketにあるんじゃない?
Re:Android Market ではこのような手口のマルウェア配布は許可されていない (スコア:2)
Bouncerでしたっけか。
なので一応、典型的に「普通な」マルウエアは存在していないはず。
……だけど、「普通じゃない」というか、審査をすり抜けるマルウエアはやっぱりいろいろいるかもですね。
#ていうか…マーケットなりAppストアなりやって、マルウエアが全く存在しえないって気もする。どんなに「審査」しても。
Re:Android Market ではこのような手口のマルウェア配布は許可されていない (スコア:1)
見つかってる見つかってる
Re: (スコア:0)
なんぼでも見つかってる
と言うほどは見つかってない。
マルウェアじゃないものをSymantecが
マルウェアだと嘘の発表をしたのはあった。
Re: (スコア:0)
「直ちに広まる恐れはない」という文章から察するに、「システム的に実現不可能」というニュアンスなんでしょう。
野良アプリをダウンロードしない限りは現状危険はないよ、と。
Re:Android Market ではこのような手口のマルウェア配布は許可されていない (スコア:1)
該当箇所の原文を書いておくと。
and the current structure of the Android Market does not allow for a malware distribution scheme like this one.
権限設定とかallowで許可とか慣れ親しみ過ぎてそう訳しちゃった感じ?
Re: (スコア:0)
原文だと意味わかりまくりですね。
Re: (スコア:0)
日本人は「直ちに影響がない」と言われるたら、眉に唾をつけるべきと去年学びました。
Re: (スコア:0)
単に自社のウイルス対策ソフトでも”現在は”対応できないってことでしょ
PCと違ってウイルス対策ソフトにも制限が多いからねぇ
Re: (スコア:0)
>単に自社のウイルス対策ソフトでも”現在は”対応できないってことでしょ
ぜんぜん違う。むしろ真逆。
サーバーサイドポリモルフィズムのためには、ダウンロードされるごとに
サーバー上で異なるマルウェアイメージを動的に作ってダウンロードさせる必要がある。
ところがAndroidマーケットでは、開発者から提出されたアプリのインストーラ(apk)を
(審査とか終わったあとで)静的にGoogleの保有するサーバに配置してダウンロードさせているだけなので
そもそもサーバーサイドポリモルフィズム自体が実現できないって話。
またSymantecか (スコア:0)
最近のAndroidのマルウェア発見ニュースの出所として一際目立つSymantecですね。
Symantec はAndroidのセキュリティを物凄く力を入れて研究・調査してるからなのか、 Androidユーザに自社製品を買ってほしいと思ってて、なんとか危機感を感じて欲しいからなのか、それともそのマルウェアを…。
Re: (スコア:0)
Windows 8ではとうとうアンチウイルスソフトが標準添付になるそうだし、このままでは座して死を待つしかないですからそりゃ必死にもなるでしょう。
Re: (スコア:0)
やや勇み足なところもありますけどね。
デベロッパー(アタッカー)サイド・ポリモーフィズム (スコア:0)
普通のマーケットだと毎回違うイメージを配布する手段がないからサーバサイド・ポリモーフィズムは不可能って話ですが、
ダウンロードカウントが変化する度にデベロッパー(アタッカー)サイドで変形させて審査に出せば似たようなことは可能ですよね。
流石にアップデート数やユーザのアップデート用ダウンロード数ですぐバレそうなもんですが、再登録とか逃げ道はあるだろうし。
審査の時に使うフィルタの精度が低ければ十分危険、かな。
そういう攻撃が増えてくると普通のアプリ審査がマルウェアの審査待ちでなかなか公開できなくなるとかいうスパムメール並みにアホな状況が完成したりするんだろうか。
# 攻撃を仕掛けやすいAndroidマーケットと、いざ仕掛けられたら審査待ちで真っ先に沈むiOSマーケット、さてさて何処が沈むか
Re: (スコア:0)
自分が何を言ってるか分かってますか?
山ほど再登録を繰り返しまくれば、なんて話なら
最初から山ほど登録すればいいだけですよ。
再登録する必要すらないですよね。
でもそれにもすでに今までの前例の中で限界があるのと同じように、
再登録しまくるのにも限界があります。
つまり今までもこれからも何も変わりません。
これすら理解できないのに、
やれAndroidだiOSだ、Androidは攻撃しやすいんだiOSは審査がなど
考察しようなんて思わない方が身のためです。
単にApple信者が妄想で暴れてるとしか見られません。
Re:デベロッパー(アタッカー)サイド・ポリモーフィズム (スコア:1)
とりあえず、私はApple信者ではありません。むしろアンチApple派の疑いがあります。
>最初から山ほど登録すればいい
攻撃者からすれば、小出しにすることにも意味があります。
一気に出して一括でアンチウィルスのブラックリストに登録されることや変化規則を読まれる事は、攻撃者としては避けたいでしょう。
>再登録しまくるのにも限界があります
先に限界に達するのは、分散が容易な攻撃側ではなく、マーケットなどのシステム側ですよね?
限界突破で最も被害を被るのはマーケット管理者とユーザと一般デベロッパですから、楽観視できることではないと思います。
>Androidは攻撃しやすいんだiOSは審査がなど
人力審査でマルウェアを弾けるかどうかはマーケットがパンクするかどうかには直接影響しません。
AndroidとiOSは更新作業 時間 に差があって、それがプラスマイナス両方に作用するってだけの話で他意はありません。
デベロッパー(アタッカー)サイド・ポリモーフィズムは更新負荷の少ない(短時間で更新可能な)環境で実施しやすく、更新負荷の大きい環境でより大きな副作用(DDoS)を発揮します。つまり、どちらでも実施可能であり、どちらでもDDoSは発生しえます。
「攻撃を仕掛けやすいAndroidマーケット」は「「更新作業時間が短い」ので擬似ポリモーフィズムのサイクルを回しやすい」という事を意図していたんですが、「人力審査の有無が危険性云々の話」に誤解されたらしい辺り言葉が足りませんでしたね。
ただ、#2095757とか読むと他にも色々と食い違っている様ですが、こっちはどう誤解・誤読してるのかサッパリ理解できませんでした・・・そっちは多分あなたにとっては本題じゃないからどうでもいいかな?
Re: (スコア:0)
このコメントをどう見ればapple信者に見えたんだろう?
fs0x7fさんの過去コメントをいくらか遡ったけど、全く信者っぽくないし。
Re: (スコア:0)
マルウェアを「仕掛ける」主体と、
それを「審査」する主体、
またマルウェアと判断して「リジェクト」する主体について理解できていますか?
「いざマルウェアを仕掛けられたら審査待ちで」
なんて前提が異常なんですよ。
審査前に仕掛けられるというのは
「開発サーバーがクラックされて開発ソースに仕掛ける」
くらいの超レアケースだけです。
そこしかAppleについては問題視しない、というならこれは病的ですね。
それに対して、マルウェア入りアプリに「エンドユーザーが」引っかかったというなら
そこでは審査などネック
Re: (スコア:0)
OKわかった。降参だ。
幼稚園からやり直すが、#2095757が通った幼稚園から経歴を教えてくれないか。
君の経歴を完全にトレースしなければ、君の心の理論とやらは片鱗も理解できそうにない。
Re: (スコア:0)
自分をなおさら貶めるような書き込みはしない方がいいと思うよ。
Re: (スコア:0)
うーん、意訳読めないのかなぁ。
OKわかった。降参だ。
(お前と話す気は失せた。)
幼稚園からやり直すが、#2095757が通った幼稚園から経歴を教えてくれないか。
(どうせ、経歴も大したことないんだろ?教えてみろ)
君の経歴を完全にトレースしなければ、君の心の理論とやらは片鱗も理解できそうにない。
(イレギュラーなキチガイはお前
時代背景も加味した完全トレースなんて不可能だから、その実、そもそも理解する気は全くない)
Re: (スコア:0)
ほんとに幼稚園児だったか。
Re: (スコア:0)
内容の正誤はともかく。
顔の見えぬ相手に強気な口調を炸裂させちゃう症状、早く直したほうがいいですよ。
「ああ、○カなのね」、とクスクス笑われてますよ。
Re: (スコア:0)
顔の見えぬ相手に
「ああ、○カなのね」、とクスクス笑われてますよ。
と思われても全然どうでもいいですよね。
それを気にするようでは、被害妄想癖が少しあるんだと思う。
顔の見えぬ相手ならば、礼儀を軽んじていいと言うつもりはないけれど。
Re: (スコア:0)
もう少し心にゆとりを持ってはどうでしょう。
誰に噛み付いてるのかよく分かりませんが。
Re: (スコア:0)
「ゆとりを持てよ」と書いちゃうゆとりのない人は大変ですね。