パスワードを忘れた? アカウント作成
13380422 story
Android

Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 78

ストーリー by hylom
その手があったか 部門より

Android端末向けのトロイの木馬「BankBot」が仕込まれたアプリがGoogle Playで多数配信されているという(ZDNet Japan)。

このトロイの木馬はたびたび話題になっており、2016年12月に見つかったとされている。今回問題が見つかったアプリはインストール直後は悪意のある行動は行わないが、その後ユーザーがアプリのアップデートを行うとBankBotが組み込まれ、端末から認証情報を盗み、その情報を使ってインターネットバンキングサイトなどにアクセスして不正送金などを行うという。

Google Playではマルウェアをブロックする仕組みがあるが、アップデート時にマルウェア的な機能を追加させることでこの制限を迂回しているようだ。また、ユーザーの端末が旧ソ連の国々で稼働している場合は、BankBotが作動しないという話も出ている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年08月16日 11時30分 (#3261872)

    なぜタレコミに今回の記事そのもののリンクがないのか理解不能ですが
    やってる内容を見る限り、完全に自動にはならないでしょう

    また、しっかり見ていくと悪意のある実装はGooglePlayの外に存在しているように見えます

    https://www.ibm.com/blogs/security/jp-ja/after-big-takedown-efforts-20... [ibm.com]

    > 2017 年 4 月、IBM X-Force のリサーチャーは、
    > このマルウェアでは公式 Play ストアに侵入するために
    > もう 1 つの注目すべき方法が使用されているという見解を述べました。
    > それによると、初めの段階では愉快なビデオを表示すると銘打った悪意のないアプリケーションを装います。
    > しかし、ダウンロードされ実行された後で、アプリはそれ自体を更新して、
    > マルウェア・モジュールを取得して元のアプリケーション内にインストールします。
    > この方法で、以前には悪意のなかったアプリを、そのデバイス上でのアクセス権と持続性を完璧に備えた
    > モバイル・バンキング型マルウェアに実質的に変身させます。

    上記内容と、該当記事における図を見ると、以下の条件が必要になるでしょう

    ・最初のアプリはGooglePlay内で配信されているものであっても、
    その後のGooglePlay外からのアプリアップデートを受け入れるために必要となる
    「提供元不明アプリの許可」をしている(これを許可した時点でもう自己責任なんですが)

    ・上記を許可した後、実際にアプリがアップデートされる際のアップデート許可操作をする
    (GooglePlay外からのアップデートなので、完全自動アップデートはされないはず。今までの経験上)

    ・さらに、アプリインストーラとして
    「セキュリティ検証してからインストールする」ではなくあえて「検証なしで即インストールする」を選択する
    (Android上では、上記2つのインストール操作が2つのインストーラアプリとして別々に存在しているように見える機種が多い)

    と、結局のところは
    「GooglePlay外のアプリを、自己責任で許可し、アプリアップデート実行時の許可を操作し、さらにあえてセキュリティ検証はしないようにしている」という
    利用者側にも大量に後ろめたいことがありそうな場合だなーという印象です

    ※ もっと言えば非GooglePlayから割れアプリを入れまくってるような層ですね

    • by Anonymous Coward

      何でこれにプラスモデついてるんでしょうか?おもしろおかしい?

      元の記事を読んでも理解できてなければ意味ないですね。自分で引用までしておいて。
      > マルウェア・モジュールを取得して元のアプリケーション内にインストールします。
      これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、アプリ内にモジュール(部品)をインストールするんですよ。一般の人が分かるイメージ的で例えるならプラグインです。Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、情報を盗むプラグインが後から自

      • by Anonymous Coward on 2017年08月16日 13時00分 (#3261917)

        > これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、
        > アプリ内にモジュール(部品)をインストールするんですよ。
        > 一般の人が分かるイメージ的で例えるならプラグインです。
        > Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、
        > 情報を盗むプラグインが後から自動でダウンロードされるイメージです。
        > その為、「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。

        まず、アプリとしてアップデートさせるとタレコミリンク先にも明記されてる
        タレコミリンク先すら否定するならそれなりのソースを出してよ
        スラドをよりよく正しくするためにもね
        (ただし、後述する内容が別途存在するため、そんなもんぜんぶすっ飛ばすほど危険な権限を利用者がアプリに渡しちゃってるってことがわかったけどね)

        https://japan.zdnet.com/article/35105640/ [zdnet.com]

        > 次に、ユーザーがインストールしたこれらのアプリをアップデートさせ、
        > その際にBankBotのマルウェアモジュールを密か組み込む。

        ついでに調べてたらこんな情報があった

        https://vms.drweb.com/virus/?i=15465665&lng=en [drweb.com]

        ・Androidのアクセシビリティサービスへの登録を要求してくる、当然利用者操作による許可が必要
        ・Androidのデバイス管理者に登録することも要求してくる、アクセシビリティサービスへの登録を許可していないなら手動許可が必要、許可していると自動操作されるのでそれはそれで異質な様が利用者の目の前で繰り広げられる

        アクセシビリティサービスやデバイス管理者まで渡してるんだから、そりゃ危険だわな

        親コメント
        • by Anonymous Coward on 2017年08月16日 13時18分 (#3261929)

          #3261901 [srad.jp]ではないが、Googleは、
          GooglePlayからインストールされたアプリが、GooglePlayを介さずにアップデートすることを禁じている [cnet.com]んだよね。
          当然、そういう動きをするアプリをGooglePlayにアップロードしようとすると、検査されてはじかれる様にしていると思うんだけど。
          それとも規約に書くだけで検査はしてないのかな。

          親コメント
          • by Anonymous Coward

            それは、アプリ自体の更新を禁止してるだけです。今回はアプリではなくモジュール更新を抜け道に使っていると言うのがポイントになります。

            • by Anonymous Coward

              いや、だからw #3261917 [srad.jp]は、モジュール更新じゃなくてアプリ更新でしょ
              と言っているのだから、それを受けての話をしているのよ。

              話の流れ理解してる?

              • by Anonymous Coward

                すいません。理解してませんでした。
                #3261917に対して、そもそもアプリの更新は規約できないはずって言ってたんですね。

          • by Anonymous Coward
            検査は事実上できないんじゃないかなぁ。
            現実問題として、メジャーなアプリは、ほぼ全てその規約守ってないでしょ。

            GooglePlay だけでなく AmazonApp や、GalaxyApp などのキャリアや端末メーカーの用意するアプリストアにも公開してるわけで、それらはどのストアからでも入れられる。
            その上で Google Play から入れたからといって、GalaxyApp から更新かけてもいいし、さらにその次の更新は Google Playからでも出来る。
            アプリによってはストア毎に署名分けてアップデートできないようにしてるかもしれないけど、そこまで手間をかけて更新できないようにしてるのは見たことがない。

            メジャーなアプリほど、そうなってるわけだから、規約があっても検査しちゃうとストアの競争力を極端に落とすことになるから、やれるわけがない。
        • by Anonymous Coward

          > まず、アプリとしてアップデートさせるとタレコミリンク先にも明記されてる
          > タレコミリンク先すら否定するならそれなりのソースを出してよ
          Zendの記事が元にしてるIBMの報告にそんな事は一言も出てないと言うのはソースにならない?多分、Zendの人が誤解して追加したんだと思う。
          そもそも、モジュールを後から追加する為に、わざわざアプリをアップデートする意味がないし。

      • by Anonymous Coward

        Androidでは、「部品」はインストーラ無しでインストール・更新可能というのは確かなの?

        データとしてダウンロードしたものを実行可能なんて、そんな初歩的な穴がセキュリティに気を遣うスマホOS
        に存在するとは思えんが。

        • by Anonymous Coward

          #3261917 で書かれてる通り、そもそも前提が
          アクセシビリティサービスやデバイス管理者権限まで使えるところからスタートしてるので
          なんでもありでしょ
          一般的なAndroidアプリのバージョンアップ時、アップデート確認ボタンを自動でOK押すことだって余裕でできる

          「おもしろ動画再生アプリ」とかで配布されてるアプリに
          アクセシビリティサービスやデバイス管理者権限を渡しちゃうような利用者は
          そもそもGooglePlay外からもどんどんアプリ入れろと言われて入れちゃってくようなレベル
          こういう層をどう守るかっつーと難しいだろうね

          • by Anonymous Coward

            話のすり替えでしょ。それは自動運転してしまうという話で
            > 「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。
            という話とはまた違うことなのでは?

            • by Anonymous Coward

              話のすり替えではなく本質的なところだよ
              確認が出るも出ないも全部台無しにする
              デバイス管理者を渡しちゃってるなんて前提があるんだからな
              そんな前提ならアプリのアップデートであっても自動操作される
              (それどころか自動操作でなんでもされる)のだから
              今回の件がアプリのアップデートだろうがモジュールアップデートだろうがもはや関係ない

              セキュリティにおけるこういう階層の話が理解できない素人さんなら黙ってろって
              ここはお前の夏休みの間違いばかりの自由研究発表会場じゃないんだからな

        • by Anonymous Coward

          完全ではないですが、可能です。スクリプト的な物はダウンロードできるので、大抵の機能は追加できます。勿論事前にアプリ側にアクセス権は必要ですが。ゲームとかで起動時にPlay通さずに「更新データをダウンロードしています」みたいなの見た事ありませんか?
          この点はAndroid初期から問題にはされていて、iPhoneは全面禁止なので、iPhone勢がAndroidが危険だと攻撃する手段に良く使われています。その分、開発の自由度は上がるので、リスクとメリットのどちらを取っているかと言う事ではありますが。

          • by Anonymous Coward

            それは「「更新データ」であって「更新コード」ではないんでしょ?

            「スクリプト的な物はダウンロードできるので」といっても、それはOSが直接実行できるようなスクリプトではなく、
            アプリ内独自仕様のスクリプトのようなものでしょ?そういう場合はアプリに元々用意された機能しか使えないので、
            マルウェアスキャンなどでアプリに危険な機能が実装されていると判別できる。

            • by Anonymous Coward

              スクリプトを実行する機能があってもマルウェアスキャンでは検出できないのでは?
              機能の検出は出来ても、それがマルウェアかどうか判断できないはずですが。例えばAndroid上でbash的なスクリプトを動かすアプリやマクロ処理アプリとかとの区別ができないので。

              • by Anonymous Coward

                そういうアプリ上でスクリプトを動かすような物は、大抵の場合アプリ内に作られた仮想環境内で動くだけで、
                アプリ外に影響を与えるようなものは無いと思うが。

                そこで、もし危険度の高いAPIへのアクセスがアプリ内スクリプトから利用可能な作りになっていたら、
                それは危険な可能性を持つアプリとしてスキャンで判断できるのでは?

              • by Anonymous Coward on 2017年08月16日 14時25分 (#3261973)

                Androidの場合その辺は結構野放しです。SDカード上のファイルのリネームや移動、Webサーバーへのアクセスが出来るスクリプト処理プログラムとか、他のアプリの画面をキャプチャして解析して攻略情報を出すアプリとか、他のアプリのセーブデータを書き換えてチートするアプリもあります。
                その辺が、開発者側から見たAndroidの魅力の一つではありますが。なので、アクセス権と開発元をよく見て判断しましょうと言うのがAndroidの方針ですが、そこが正常に動作していないので、今回みたいなケースが出てきたと言う事でしょう。
                危険度の高いAPIについては、SDカードからファイルを読み込む&Webサーバーにデータを送るだけで情報は盗めるわけですから、これらを危険度が高いってしてしまうと、かなりのアプリが危険度が高いAPIを使用する事になってしまいます。

                親コメント
              • by Anonymous Coward
                Android のアプリ内から普通にシェル起動できますよ。
                もちろんシェルスクリプトも書けますし動かせます。
                UI 上に存在しないOSの設定の更新もかけられますし、リダイレクトして内容の取り出しも出来ます。

                もちろん、ユーザー権限の範囲で出来ることに限られますが、自アプリの世界に閉じたりはしません。
          • by Anonymous Coward

            iPhoneが全面禁止?普通にそこらのゲームで更新データのダウンロードやってるんだけど
            少なくとも、手元では「ダンジョンに出会いを求めるのは間違っているだろうか~メモリア・フレーゼ~」でやってますよ

            • by Anonymous Coward

              すいません。書き方が悪かったです。ゲームで更新データをダウンロードしてるアプリの中にはスクリプトをダウンロードしている物もあると書くべきでした。更新データをダウンロードするアプリが全部全部スクリプトを含んでいる訳ではないので。
              例に挙げているアプリはスクリプトを含まない画像データとかシナリオのテキストデータとかをダウンロードしているんだと思います。

  • by Anonymous Coward on 2017年08月16日 8時02分 (#3261788)

    セキュリティがザルすぎる。
    大事な情報は入れちゃだめだね。

    • by Anonymous Coward on 2017年08月16日 8時23分 (#3261793)

      となると… ゴクリ

      親コメント
    • by Anonymous Coward

      使用者がザル過ぎるんでしょう。
      アプリの内容考えても必要と思えない権限を要求しているのに、考えずに許可してインストールするんだから。
      アップデートでも権限が変更になったら、許可を求めてくるのに、アップデートで急に権限が必要になることに疑問を持たない使用者に問題がある。
      まぁ、Google Playの審査が甘いというのは認めるけど。

      • by Anonymous Coward on 2017年08月16日 14時10分 (#3261966)

        そもそもは、インストール時に一括で権限移譲するという方法がまずいよね。iOSみたいに、実際に権限が必要な時に都度聞いてくればいいのに。
        最近のAndroidはそっちの方向に舵を切ってるけど、アプリ開発者側での対応が必要なんだっけ。普及はまだ遠いか。

        あとは、Googleがあまりに多くの権限をサードパーティに渡してしまってることかな。iOSだと、電話番号やSMSやEmailなんかにはアクセスできない。
        自由度が高いのがAndroidの魅力ではあるけど、リテラシーのない一般の人も使うことを考えれば、もう少し縛っても良い気がする。
        どうせ、情強さんたちはroot化とかするんでしょ?追加の権限はそっち側でやれば・・・

        親コメント
        • by Anonymous Coward on 2017年08月16日 14時58分 (#3261993)

          Android6からはインストール後に権限の制限ができるようになってる
          今まで通りのインストール時の権限確認もできるのでiOSよりも安全になった

          Android6以降のapiを使うと宣言してるアプリでは原則として上記の制限ができる
          宣言してないアプリでも利用者側の自己責任で制限できる
          後者の場合にアプリが正しく動作するかどうかはアプリ次第
          Android6が出たあとで更新されてるアプリは使用するapiが古いバージョンでもそのへん考慮してるものが多い

          ちなみにAndroid4.3の途中でも一時的に類似した権限制限機能が実装されていた頃がある

          親コメント
      • by Anonymous Coward

        得体の知れない権限要求てんこもりなのはとうに普及した現象なので、そんな端末に重要なデータを置くのがザル。

  • by Anonymous Coward on 2017年08月16日 9時02分 (#3261805)

    「1000件見つかった」とかニュースあったけど
    何の事はない、総ダウンロード数合計が1000だと…あほくさ。

    • by Anonymous Coward

      ストーリーに挙げられているリンク先のどこにも「1000件見つかった」なんて話は書かれていないけど、何の話をしているの?

      • by Anonymous Coward

        ゴキの話・・・(ゴメンナサイ

  • by Anonymous Coward on 2017年08月16日 9時07分 (#3261806)

    やたら権限を追加要求するアプリがあるんだけどやっぱり危ないんだろうな

    ちなみにアプリ名は「YouTube」でした

    • by Anonymous Coward on 2017年08月16日 9時17分 (#3261811)

      丸亀製麺のアプリは凄いぞ。
      ほぼ全ての権限を要求してくる。
      Root化端末にも対応済みで常に常駐しようとするし
      XperiaのSTAMINAモードの妨害(アプリ制限させないようだろうが)もする。

      親コメント
      • by Anonymous Coward

        怪しい会社製のライブラリを「お、これ高機能で色んな事できて、しかも使用料安いじゃん」とか無頓着に使っちゃったりすると、
        往々にしてそういうことがあるよね。

        • by Anonymous Coward

          本当にそれだけだったら良かったんですけどね。

          「丸亀製麺」がアプリを全面刷新へ、MAツールも導入する方針
          http://business.nikkeibp.co.jp/atcldmg/15/132287/061400335/ [nikkeibp.co.jp]

          丸亀製麺は個人情報収集をより推し進めるらしい。
          まぁ自社の経営や規模拡大のノウハウも売ってる会社なので・・・。
          てーかトリドールHDがって感じですかね。

          #さっき検索して知ったけど割引クーポンのリセマラ対策も行ってるらしい。

    • by Anonymous Coward

      ニコ生の公式アプリも電話帳の権限を要求してくる。

  • by Anonymous Coward on 2017年08月16日 9時47分 (#3261825)

    マルウェアを仕込むような、あからさまに分かりやすいことやってるようなアプリはまだ良いんだよ
    そこまでやらかしたら流石のGoogleやMicrosoftでも、強制削除などの対策を入れるからな

    問題は、出始めのころはフリーで何でもできたアプリが、ある日突然有料になったり、無料版に小細工入れて来るパターン
    こういうことをやる輩のモラルなんて大概なので、そのやり方で上手く行くと二回、三回と何度でも繰り返す

    Androidで有名な国産某エディタなんて、無料版は広告アプリと化したまま放置
    有料版も暫くはまともに使えていたものの、最近アプリ内課金を覚えだして、アップデートと言えばそればかり

    某ファイラーに至っては、有料版の名前を『○○ Classic』に変えて、ある日突然新たな有料版を作りだし
    それへの移行が思ったように進まないと、今度は『○○ Classic』からアップデートで機能削除やりだして批判されてる始末

    OSやセキュリティ周りの強制アップデートのようなものはともかく
    開発者は悪いことをしないだろうという性善説に強制アップデートは、こういうことになるから危険
    別にAndroidだけに限らずWindowsでも遅かれ早かれこうなるよ

    開発者は悪いことをしないだろうという性善説に頼った強制アップデートの行き着く先は課金地獄
    いい加減にユーザ側でアプリの特定バージョンに巻き戻したり、特定バージョンのまま固定できるような仕組みを作らないと悪化するだけ

    • by Anonymous Coward

      やはり資本主義の行きつく先は守銭奴が跳梁跋扈する世界だな。
      早く共産主義に移行して、アプリは国から提供されるものしかインストールできないようにするしかない。
      もちろん国が用意するアプリのバックドアは良いバックドアだ。

    • by Anonymous Coward

      貧乏人批判をしてマイナスになっている奴がいるが、有料無料限らずアップデート後起動しなくなるなどの不具合が起きることはあり得ること。例えばKindleのiOS版はあるバージョンアップ後1ヶ月も起動不能のまま修正されなかった。そのときバージョンを元に戻すにはどうすればいいか質問したが、できませんの一点張り。一度削除して再インストールしようとしても過去バージョンを提供しない。酷いものになるとアップデートが出ると、適用しない限り起動しないものがある。

    • by Anonymous Coward
      開発者が悪いと主張したいのであれば、悪いことの例を一つでいいので上げてくれるないかな?
    • by Anonymous Coward

      > 開発者は悪いことをしないだろうという性善説に頼った強制アップデートの行き着く先は課金地獄
      > いい加減にユーザ側でアプリの特定バージョンに巻き戻したり、
      > 特定バージョンのまま固定できるような仕組みを作らないと悪化するだけ

      AndroidならAPKで保存しておけばいいだけ

    • by Anonymous Coward

      > 問題は、出始めのころはフリーで何でもできたアプリが、ある日突然有料になったり、無料版に小細工入れて来るパターン
      > こういうことをやる輩のモラルなんて大概なので、そのやり方で上手く行くと二回、三回と何度でも繰り返す

      そんなのまだまだ甘い
      iOSにおいては、
      「(過去に有料で買ったアプリなのに)iOSメジャーバージョンアップに対応したからまた買いなおせ」
      なんて言われるんだからね

      そもそも最初からカネとっておいてさらにiOSメジャーバージョンアップを理由にまたカネ払えと何度でも繰り返す
      それが今のiOSアプリ

      > Androidで有

      • by Anonymous Coward

        Windowsのビジネスソフトも同じようなものがあるよね。

        XXXX Ver4.0 はWindows7までしか対応してません。
        XXXX Pro Ver1.0 を新たに購入してください。

      • by Anonymous Coward

        そんなのまだまだ甘い
        iOSにおいては、
        「(過去に有料で買ったアプリなのに)iOSメジャーバージョンアップに対応したからまた買いなおせ」
        なんて言われるんだからね

        そもそも最初からカネとっておいてさらにiOSメジャーバージョンアップを理由にまたカネ払えと何度でも繰り返す
        それが今のiOSアプリ

        それ具体的にどんなアプリ?

        • by Anonymous Coward

          自分が使ってるアプリを書いてもどうせ信じないだろうし、話を逸らすネタに使ってくるのが目に見えてるので
          具体的な例が明記されてる記事を貼っとく

          http://news.mynavi.jp/column/svalley/532/ [mynavi.jp]

          記事にもある通り、iOSは「旧バージョンは速攻でセキュリティサポートすら切り捨ててくる」ので
          Windowsなどと比べてより問題が大きい

    • by Anonymous Coward

      そもそもはAndroidユーザーは金払いが悪いからな。
      有料アプリにして出してもダメだから、あとあと広告モデルに移行するのは多い。

      文句があるならちゃんと対価を払え。

    • by Anonymous Coward

      開発者も生き物なんで、ご飯食べるためにお金が必要なんですよ。
      それを守銭奴とかいうなら、まず貴方の仕事を無償化してから話しましょうよ。
      それか貴方もアプリ作って無償で出してから言いませんか?

      ガチャを課金地獄って言うなら同感だけど、払いきりの物にまで課金地獄とかいうのはよく理解できないな。

  • やっぱ、ロシアの民間企業・個人が、当局の許可の元にやってるのでしょうなぁ。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...