Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 78
ストーリー by hylom
その手があったか 部門より
その手があったか 部門より
Android端末向けのトロイの木馬「BankBot」が仕込まれたアプリがGoogle Playで多数配信されているという(ZDNet Japan)。
このトロイの木馬はたびたび話題になっており、2016年12月に見つかったとされている。今回問題が見つかったアプリはインストール直後は悪意のある行動は行わないが、その後ユーザーがアプリのアップデートを行うとBankBotが組み込まれ、端末から認証情報を盗み、その情報を使ってインターネットバンキングサイトなどにアクセスして不正送金などを行うという。
Google Playではマルウェアをブロックする仕組みがあるが、アップデート時にマルウェア的な機能を追加させることでこの制限を迂回しているようだ。また、ユーザーの端末が旧ソ連の国々で稼働している場合は、BankBotが作動しないという話も出ている。
具体的な内容をしっかり読んでみましょう (スコア:2, 興味深い)
なぜタレコミに今回の記事そのもののリンクがないのか理解不能ですが
やってる内容を見る限り、完全に自動にはならないでしょう
また、しっかり見ていくと悪意のある実装はGooglePlayの外に存在しているように見えます
https://www.ibm.com/blogs/security/jp-ja/after-big-takedown-efforts-20... [ibm.com]
> 2017 年 4 月、IBM X-Force のリサーチャーは、
> このマルウェアでは公式 Play ストアに侵入するために
> もう 1 つの注目すべき方法が使用されているという見解を述べました。
> それによると、初めの段階では愉快なビデオを表示すると銘打った悪意のないアプリケーションを装います。
> しかし、ダウンロードされ実行された後で、アプリはそれ自体を更新して、
> マルウェア・モジュールを取得して元のアプリケーション内にインストールします。
> この方法で、以前には悪意のなかったアプリを、そのデバイス上でのアクセス権と持続性を完璧に備えた
> モバイル・バンキング型マルウェアに実質的に変身させます。
上記内容と、該当記事における図を見ると、以下の条件が必要になるでしょう
・最初のアプリはGooglePlay内で配信されているものであっても、
その後のGooglePlay外からのアプリアップデートを受け入れるために必要となる
「提供元不明アプリの許可」をしている(これを許可した時点でもう自己責任なんですが)
・上記を許可した後、実際にアプリがアップデートされる際のアップデート許可操作をする
(GooglePlay外からのアップデートなので、完全自動アップデートはされないはず。今までの経験上)
・さらに、アプリインストーラとして
「セキュリティ検証してからインストールする」ではなくあえて「検証なしで即インストールする」を選択する
(Android上では、上記2つのインストール操作が2つのインストーラアプリとして別々に存在しているように見える機種が多い)
と、結局のところは
「GooglePlay外のアプリを、自己責任で許可し、アプリアップデート実行時の許可を操作し、さらにあえてセキュリティ検証はしないようにしている」という
利用者側にも大量に後ろめたいことがありそうな場合だなーという印象です
※ もっと言えば非GooglePlayから割れアプリを入れまくってるような層ですね
Re: (スコア:0)
何でこれにプラスモデついてるんでしょうか?おもしろおかしい?
元の記事を読んでも理解できてなければ意味ないですね。自分で引用までしておいて。
> マルウェア・モジュールを取得して元のアプリケーション内にインストールします。
これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、アプリ内にモジュール(部品)をインストールするんですよ。一般の人が分かるイメージ的で例えるならプラグインです。Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、情報を盗むプラグインが後から自
Re:具体的な内容をしっかり読んでみましょう (スコア:1)
> これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、
> アプリ内にモジュール(部品)をインストールするんですよ。
> 一般の人が分かるイメージ的で例えるならプラグインです。
> Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、
> 情報を盗むプラグインが後から自動でダウンロードされるイメージです。
> その為、「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。
まず、アプリとしてアップデートさせるとタレコミリンク先にも明記されてる
タレコミリンク先すら否定するならそれなりのソースを出してよ
スラドをよりよく正しくするためにもね
(ただし、後述する内容が別途存在するため、そんなもんぜんぶすっ飛ばすほど危険な権限を利用者がアプリに渡しちゃってるってことがわかったけどね)
https://japan.zdnet.com/article/35105640/ [zdnet.com]
> 次に、ユーザーがインストールしたこれらのアプリをアップデートさせ、
> その際にBankBotのマルウェアモジュールを密か組み込む。
ついでに調べてたらこんな情報があった
https://vms.drweb.com/virus/?i=15465665&lng=en [drweb.com]
・Androidのアクセシビリティサービスへの登録を要求してくる、当然利用者操作による許可が必要
・Androidのデバイス管理者に登録することも要求してくる、アクセシビリティサービスへの登録を許可していないなら手動許可が必要、許可していると自動操作されるのでそれはそれで異質な様が利用者の目の前で繰り広げられる
アクセシビリティサービスやデバイス管理者まで渡してるんだから、そりゃ危険だわな
Re:具体的な内容をしっかり読んでみましょう (スコア:1)
#3261901 [srad.jp]ではないが、Googleは、
GooglePlayからインストールされたアプリが、GooglePlayを介さずにアップデートすることを禁じている [cnet.com]んだよね。
当然、そういう動きをするアプリをGooglePlayにアップロードしようとすると、検査されてはじかれる様にしていると思うんだけど。
それとも規約に書くだけで検査はしてないのかな。
Re: (スコア:0)
それは、アプリ自体の更新を禁止してるだけです。今回はアプリではなくモジュール更新を抜け道に使っていると言うのがポイントになります。
Re: (スコア:0)
いや、だからw #3261917 [srad.jp]は、モジュール更新じゃなくてアプリ更新でしょ
と言っているのだから、それを受けての話をしているのよ。
話の流れ理解してる?
Re: (スコア:0)
すいません。理解してませんでした。
#3261917に対して、そもそもアプリの更新は規約できないはずって言ってたんですね。
Re: (スコア:0)
現実問題として、メジャーなアプリは、ほぼ全てその規約守ってないでしょ。
GooglePlay だけでなく AmazonApp や、GalaxyApp などのキャリアや端末メーカーの用意するアプリストアにも公開してるわけで、それらはどのストアからでも入れられる。
その上で Google Play から入れたからといって、GalaxyApp から更新かけてもいいし、さらにその次の更新は Google Playからでも出来る。
アプリによってはストア毎に署名分けてアップデートできないようにしてるかもしれないけど、そこまで手間をかけて更新できないようにしてるのは見たことがない。
メジャーなアプリほど、そうなってるわけだから、規約があっても検査しちゃうとストアの競争力を極端に落とすことになるから、やれるわけがない。
Re: (スコア:0)
> まず、アプリとしてアップデートさせるとタレコミリンク先にも明記されてる
> タレコミリンク先すら否定するならそれなりのソースを出してよ
Zendの記事が元にしてるIBMの報告にそんな事は一言も出てないと言うのはソースにならない?多分、Zendの人が誤解して追加したんだと思う。
そもそも、モジュールを後から追加する為に、わざわざアプリをアップデートする意味がないし。
Re: (スコア:0)
Androidでは、「部品」はインストーラ無しでインストール・更新可能というのは確かなの?
データとしてダウンロードしたものを実行可能なんて、そんな初歩的な穴がセキュリティに気を遣うスマホOS
に存在するとは思えんが。
Re: (スコア:0)
#3261917 で書かれてる通り、そもそも前提が
アクセシビリティサービスやデバイス管理者権限まで使えるところからスタートしてるので
なんでもありでしょ
一般的なAndroidアプリのバージョンアップ時、アップデート確認ボタンを自動でOK押すことだって余裕でできる
「おもしろ動画再生アプリ」とかで配布されてるアプリに
アクセシビリティサービスやデバイス管理者権限を渡しちゃうような利用者は
そもそもGooglePlay外からもどんどんアプリ入れろと言われて入れちゃってくようなレベル
こういう層をどう守るかっつーと難しいだろうね
Re: (スコア:0)
話のすり替えでしょ。それは自動運転してしまうという話で
> 「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。
という話とはまた違うことなのでは?
Re: (スコア:0)
話のすり替えではなく本質的なところだよ
確認が出るも出ないも全部台無しにする
デバイス管理者を渡しちゃってるなんて前提があるんだからな
そんな前提ならアプリのアップデートであっても自動操作される
(それどころか自動操作でなんでもされる)のだから
今回の件がアプリのアップデートだろうがモジュールアップデートだろうがもはや関係ない
セキュリティにおけるこういう階層の話が理解できない素人さんなら黙ってろって
ここはお前の夏休みの間違いばかりの自由研究発表会場じゃないんだからな
Re: (スコア:0)
完全ではないですが、可能です。スクリプト的な物はダウンロードできるので、大抵の機能は追加できます。勿論事前にアプリ側にアクセス権は必要ですが。ゲームとかで起動時にPlay通さずに「更新データをダウンロードしています」みたいなの見た事ありませんか?
この点はAndroid初期から問題にはされていて、iPhoneは全面禁止なので、iPhone勢がAndroidが危険だと攻撃する手段に良く使われています。その分、開発の自由度は上がるので、リスクとメリットのどちらを取っているかと言う事ではありますが。
Re: (スコア:0)
それは「「更新データ」であって「更新コード」ではないんでしょ?
「スクリプト的な物はダウンロードできるので」といっても、それはOSが直接実行できるようなスクリプトではなく、
アプリ内独自仕様のスクリプトのようなものでしょ?そういう場合はアプリに元々用意された機能しか使えないので、
マルウェアスキャンなどでアプリに危険な機能が実装されていると判別できる。
Re: (スコア:0)
スクリプトを実行する機能があってもマルウェアスキャンでは検出できないのでは?
機能の検出は出来ても、それがマルウェアかどうか判断できないはずですが。例えばAndroid上でbash的なスクリプトを動かすアプリやマクロ処理アプリとかとの区別ができないので。
Re: (スコア:0)
そういうアプリ上でスクリプトを動かすような物は、大抵の場合アプリ内に作られた仮想環境内で動くだけで、
アプリ外に影響を与えるようなものは無いと思うが。
そこで、もし危険度の高いAPIへのアクセスがアプリ内スクリプトから利用可能な作りになっていたら、
それは危険な可能性を持つアプリとしてスキャンで判断できるのでは?
Re:具体的な内容をしっかり読んでみましょう (スコア:1)
Androidの場合その辺は結構野放しです。SDカード上のファイルのリネームや移動、Webサーバーへのアクセスが出来るスクリプト処理プログラムとか、他のアプリの画面をキャプチャして解析して攻略情報を出すアプリとか、他のアプリのセーブデータを書き換えてチートするアプリもあります。
その辺が、開発者側から見たAndroidの魅力の一つではありますが。なので、アクセス権と開発元をよく見て判断しましょうと言うのがAndroidの方針ですが、そこが正常に動作していないので、今回みたいなケースが出てきたと言う事でしょう。
危険度の高いAPIについては、SDカードからファイルを読み込む&Webサーバーにデータを送るだけで情報は盗めるわけですから、これらを危険度が高いってしてしまうと、かなりのアプリが危険度が高いAPIを使用する事になってしまいます。
Re: (スコア:0)
もちろんシェルスクリプトも書けますし動かせます。
UI 上に存在しないOSの設定の更新もかけられますし、リダイレクトして内容の取り出しも出来ます。
もちろん、ユーザー権限の範囲で出来ることに限られますが、自アプリの世界に閉じたりはしません。
Re: (スコア:0)
iPhoneが全面禁止?普通にそこらのゲームで更新データのダウンロードやってるんだけど
少なくとも、手元では「ダンジョンに出会いを求めるのは間違っているだろうか~メモリア・フレーゼ~」でやってますよ
Re: (スコア:0)
すいません。書き方が悪かったです。ゲームで更新データをダウンロードしてるアプリの中にはスクリプトをダウンロードしている物もあると書くべきでした。更新データをダウンロードするアプリが全部全部スクリプトを含んでいる訳ではないので。
例に挙げているアプリはスクリプトを含まない画像データとかシナリオのテキストデータとかをダウンロードしているんだと思います。
やっぱりAndroidは危ないな (スコア:0)
セキュリティがザルすぎる。
大事な情報は入れちゃだめだね。
Re:やっぱりAndroidは危ないな (スコア:1)
となると… ゴクリ
Re:やっぱりAndroidは危ないな (スコア:2, おもしろおかしい)
iTRON で i-mode だな。
もちろんアプリダウンロード/インストール禁止。
Re: (スコア:0)
となると… ゴクリ
Windows 10 Mobile: たまにはわたしのこともおもいだしてください
Re: (スコア:0)
公衆電話最強伝説
Re: (スコア:0)
使用者がザル過ぎるんでしょう。
アプリの内容考えても必要と思えない権限を要求しているのに、考えずに許可してインストールするんだから。
アップデートでも権限が変更になったら、許可を求めてくるのに、アップデートで急に権限が必要になることに疑問を持たない使用者に問題がある。
まぁ、Google Playの審査が甘いというのは認めるけど。
Re:やっぱりAndroidは危ないな (スコア:1)
そもそもは、インストール時に一括で権限移譲するという方法がまずいよね。iOSみたいに、実際に権限が必要な時に都度聞いてくればいいのに。
最近のAndroidはそっちの方向に舵を切ってるけど、アプリ開発者側での対応が必要なんだっけ。普及はまだ遠いか。
あとは、Googleがあまりに多くの権限をサードパーティに渡してしまってることかな。iOSだと、電話番号やSMSやEmailなんかにはアクセスできない。
自由度が高いのがAndroidの魅力ではあるけど、リテラシーのない一般の人も使うことを考えれば、もう少し縛っても良い気がする。
どうせ、情強さんたちはroot化とかするんでしょ?追加の権限はそっち側でやれば・・・
Re:やっぱりAndroidは危ないな (スコア:1)
Android6からはインストール後に権限の制限ができるようになってる
今まで通りのインストール時の権限確認もできるのでiOSよりも安全になった
Android6以降のapiを使うと宣言してるアプリでは原則として上記の制限ができる
宣言してないアプリでも利用者側の自己責任で制限できる
後者の場合にアプリが正しく動作するかどうかはアプリ次第
Android6が出たあとで更新されてるアプリは使用するapiが古いバージョンでもそのへん考慮してるものが多い
ちなみにAndroid4.3の途中でも一時的に類似した権限制限機能が実装されていた頃がある
Re: (スコア:0)
得体の知れない権限要求てんこもりなのはとうに普及した現象なので、そんな端末に重要なデータを置くのがザル。
これソース記事もガセ紛いで (スコア:0)
「1000件見つかった」とかニュースあったけど
何の事はない、総ダウンロード数合計が1000だと…あほくさ。
Re: (スコア:0)
ストーリーに挙げられているリンク先のどこにも「1000件見つかった」なんて話は書かれていないけど、何の話をしているの?
Re: (スコア:0)
ゴキの話・・・(ゴメンナサイ
アップデート時に (スコア:0)
やたら権限を追加要求するアプリがあるんだけどやっぱり危ないんだろうな
ちなみにアプリ名は「YouTube」でした
Re:アップデート時に (スコア:1)
丸亀製麺のアプリは凄いぞ。
ほぼ全ての権限を要求してくる。
Root化端末にも対応済みで常に常駐しようとするし
XperiaのSTAMINAモードの妨害(アプリ制限させないようだろうが)もする。
Re: (スコア:0)
怪しい会社製のライブラリを「お、これ高機能で色んな事できて、しかも使用料安いじゃん」とか無頓着に使っちゃったりすると、
往々にしてそういうことがあるよね。
Re: (スコア:0)
本当にそれだけだったら良かったんですけどね。
「丸亀製麺」がアプリを全面刷新へ、MAツールも導入する方針
http://business.nikkeibp.co.jp/atcldmg/15/132287/061400335/ [nikkeibp.co.jp]
丸亀製麺は個人情報収集をより推し進めるらしい。
まぁ自社の経営や規模拡大のノウハウも売ってる会社なので・・・。
てーかトリドールHDがって感じですかね。
#さっき検索して知ったけど割引クーポンのリセマラ対策も行ってるらしい。
Re: (スコア:0)
ニコ生の公式アプリも電話帳の権限を要求してくる。
強制アップデートの行き着く先 (スコア:0)
マルウェアを仕込むような、あからさまに分かりやすいことやってるようなアプリはまだ良いんだよ
そこまでやらかしたら流石のGoogleやMicrosoftでも、強制削除などの対策を入れるからな
問題は、出始めのころはフリーで何でもできたアプリが、ある日突然有料になったり、無料版に小細工入れて来るパターン
こういうことをやる輩のモラルなんて大概なので、そのやり方で上手く行くと二回、三回と何度でも繰り返す
Androidで有名な国産某エディタなんて、無料版は広告アプリと化したまま放置
有料版も暫くはまともに使えていたものの、最近アプリ内課金を覚えだして、アップデートと言えばそればかり
某ファイラーに至っては、有料版の名前を『○○ Classic』に変えて、ある日突然新たな有料版を作りだし
それへの移行が思ったように進まないと、今度は『○○ Classic』からアップデートで機能削除やりだして批判されてる始末
OSやセキュリティ周りの強制アップデートのようなものはともかく
開発者は悪いことをしないだろうという性善説に強制アップデートは、こういうことになるから危険
別にAndroidだけに限らずWindowsでも遅かれ早かれこうなるよ
開発者は悪いことをしないだろうという性善説に頼った強制アップデートの行き着く先は課金地獄
いい加減にユーザ側でアプリの特定バージョンに巻き戻したり、特定バージョンのまま固定できるような仕組みを作らないと悪化するだけ
Re: (スコア:0)
やはり資本主義の行きつく先は守銭奴が跳梁跋扈する世界だな。
早く共産主義に移行して、アプリは国から提供されるものしかインストールできないようにするしかない。
もちろん国が用意するアプリのバックドアは良いバックドアだ。
Re: (スコア:0)
貧乏人批判をしてマイナスになっている奴がいるが、有料無料限らずアップデート後起動しなくなるなどの不具合が起きることはあり得ること。例えばKindleのiOS版はあるバージョンアップ後1ヶ月も起動不能のまま修正されなかった。そのときバージョンを元に戻すにはどうすればいいか質問したが、できませんの一点張り。一度削除して再インストールしようとしても過去バージョンを提供しない。酷いものになるとアップデートが出ると、適用しない限り起動しないものがある。
Re: (スコア:0)
Re: (スコア:0)
> 開発者は悪いことをしないだろうという性善説に頼った強制アップデートの行き着く先は課金地獄
> いい加減にユーザ側でアプリの特定バージョンに巻き戻したり、
> 特定バージョンのまま固定できるような仕組みを作らないと悪化するだけ
AndroidならAPKで保存しておけばいいだけ
Re: (スコア:0)
> 問題は、出始めのころはフリーで何でもできたアプリが、ある日突然有料になったり、無料版に小細工入れて来るパターン
> こういうことをやる輩のモラルなんて大概なので、そのやり方で上手く行くと二回、三回と何度でも繰り返す
そんなのまだまだ甘い
iOSにおいては、
「(過去に有料で買ったアプリなのに)iOSメジャーバージョンアップに対応したからまた買いなおせ」
なんて言われるんだからね
そもそも最初からカネとっておいてさらにiOSメジャーバージョンアップを理由にまたカネ払えと何度でも繰り返す
それが今のiOSアプリ
> Androidで有
Re: (スコア:0)
Windowsのビジネスソフトも同じようなものがあるよね。
XXXX Ver4.0 はWindows7までしか対応してません。
XXXX Pro Ver1.0 を新たに購入してください。
Re: (スコア:0)
そんなのまだまだ甘い
iOSにおいては、
「(過去に有料で買ったアプリなのに)iOSメジャーバージョンアップに対応したからまた買いなおせ」
なんて言われるんだからね
そもそも最初からカネとっておいてさらにiOSメジャーバージョンアップを理由にまたカネ払えと何度でも繰り返す
それが今のiOSアプリ
それ具体的にどんなアプリ?
Re: (スコア:0)
自分が使ってるアプリを書いてもどうせ信じないだろうし、話を逸らすネタに使ってくるのが目に見えてるので
具体的な例が明記されてる記事を貼っとく
http://news.mynavi.jp/column/svalley/532/ [mynavi.jp]
記事にもある通り、iOSは「旧バージョンは速攻でセキュリティサポートすら切り捨ててくる」ので
Windowsなどと比べてより問題が大きい
Re: (スコア:0)
そもそもはAndroidユーザーは金払いが悪いからな。
有料アプリにして出してもダメだから、あとあと広告モデルに移行するのは多い。
文句があるならちゃんと対価を払え。
Re: (スコア:0)
開発者も生き物なんで、ご飯食べるためにお金が必要なんですよ。
それを守銭奴とかいうなら、まず貴方の仕事を無償化してから話しましょうよ。
それか貴方もアプリ作って無償で出してから言いませんか?
ガチャを課金地獄って言うなら同感だけど、払いきりの物にまで課金地獄とかいうのはよく理解できないな。
ユーザーの端末が旧ソ連の国々で稼働している場合は、BankBotが作動しない (スコア:0)
やっぱ、ロシアの民間企業・個人が、当局の許可の元にやってるのでしょうなぁ。