Google Playでリリース後、1年近くたってマルウェア化したアプリ 16
ストーリー by headless
変化 部門より
変化 部門より
Google Play で無害なアプリとしてリリース後、1 年近くたってマルウェア化したアプリについて、発見した ESET が報告している
(WeLiveSecurity の記事、
Ars Technica の記事、
The Verge の記事、
The Register の記事)。
このアプリ「iRecorder - Screen Recorder」(Internet Archive) は 2021 年 9 月 19 日に Google Play で最初にリリースされ、2022 年 8 月頃にはバージョン 1.3.8 でマルウェア化していたという。当初は名前の通りデバイスの画面を録画するアプリだったが、その後カメラからのビデオ撮影機能なども追加されたらしい。
マルウェア化したバージョンはオープンソースの遠隔操作ツール AhMyth Android RAT をベースにしたコードが追加されたもので、ESET は AhRAT と名付けている。AhRAT は C&C サーバーに接続してマイクから録音した音声 (調査時点では 60 秒) を送信するとともに新しい設定ファイルを受信する。指定された拡張子のファイルを送信する機能も搭載されていたほか、設定ファイルには実装されていないコマンドも含まれていたそうだ。
アプリ開発者が無害なアプリを Google Play でリリースし、1 年近く待ってからマルウェアに変えるのは珍しいという。以前 Google Play で公開されていたバーコードスキャナーアプリのマルウェア化や Chrome ウェブストアで公開されていた拡張機能のマルウェア化が話題になったが、これらの場合は途中で開発元が変わっている。なお、「iRecorder」という名称のアプリは Google Play で複数公開されているが、このアプリは削除済みだ。
このアプリ「iRecorder - Screen Recorder」(Internet Archive) は 2021 年 9 月 19 日に Google Play で最初にリリースされ、2022 年 8 月頃にはバージョン 1.3.8 でマルウェア化していたという。当初は名前の通りデバイスの画面を録画するアプリだったが、その後カメラからのビデオ撮影機能なども追加されたらしい。
マルウェア化したバージョンはオープンソースの遠隔操作ツール AhMyth Android RAT をベースにしたコードが追加されたもので、ESET は AhRAT と名付けている。AhRAT は C&C サーバーに接続してマイクから録音した音声 (調査時点では 60 秒) を送信するとともに新しい設定ファイルを受信する。指定された拡張子のファイルを送信する機能も搭載されていたほか、設定ファイルには実装されていないコマンドも含まれていたそうだ。
アプリ開発者が無害なアプリを Google Play でリリースし、1 年近く待ってからマルウェアに変えるのは珍しいという。以前 Google Play で公開されていたバーコードスキャナーアプリのマルウェア化や Chrome ウェブストアで公開されていた拡張機能のマルウェア化が話題になったが、これらの場合は途中で開発元が変わっている。なお、「iRecorder」という名称のアプリは Google Play で複数公開されているが、このアプリは削除済みだ。
権限の設定でアプリの通信の可否ができるようになれば… (スコア:0)
気になるアプリがあっても
よっぽど人気で知名度があるか
知名度がある企業や個人が作ったアプリか
レビューサイトで開発費が大作クラスだと確認できたアプリしか
怖くて入れられない。
というか、GoogleがAndroidの権限の設定画面で
個別アプリの通信の可否をできるようにしてくれれば
Androidのマルウェアって減ると思う。
Re:権限の設定でアプリの通信の可否ができるようになれば… (スコア:1)
Huaweiのp30liteではモバイル通信とWiFi
それぞれ通信のOFFができたな。
通信不要のアプリでOFFにすると広告が消えた。
いま使ってるMoto g13にはなさそう。
Re:権限の設定でアプリの通信の可否ができるようになれば… (スコア:1)
通信モードを200kbpsの低速モードにするとニュースアプリに広告が出なくなるから活用してる
Re: (スコア:0)
へ~、機種によってはできるんだ。
でも、うちは通信キャリア指定のオリジナルスマホしか使えない契約になってるから
Huaweiは使えない。残念だ。
Re:権限の設定でアプリの通信の可否ができるようになれば… (スコア:1)
アプリ内広告ビジネスが機能しなくなるからGoogleは知らんぷりしてるんだろ
EUあたりが命令してくれないかね
Re: (スコア:0)
だとしてもGoogleの広告APIとパラメータ無しのHTTP GETを例外にして、それ以外の通信は権限が必要とかに出来なくはないよね
Re:権限の設定でアプリの通信の可否ができるようになれば… (スコア:1)
root取れる野良ディストリだと設定のアプリからモバイルとWifiでOn/Offができてインタフェースがどこも同じなので、Android自体には既に機能が載っててベンダがリリースする時に無効化してるかrootじゃない時に無効化されているのではないかと。
デフォルト全部Onで一つずつ切っていかないといけないのであまり実用的ではありませんが。(多分ADBで出来ると思う)
やりたければ、rootなしでも動くNet Guard等のNo root firewallもありますし、あまり需要がないのかもしれません。
(個人的にはデフォルトAll Offで通信しようとしたら通知がくるNet Guardみたいな機能をデフォルトでWindowsやAndroidに載せて欲しい)
# Qemu-KVMにBliss OS入れててAndroidの設定にあるけど使いにくいのでパフォーマンス諦めてNet Guardつかってる人
Re: (スコア:0)
Net Guard良さそうですね!
今度、誰もレビューしてない、
スコアができるほどの評価も集まってないみたいな
アプリを試すとき、使ってみます。
Re:権限の設定でアプリの通信の可否ができるようになれば… (スコア:1)
いや、それでマルウェアが減ると思うのは楽観的。
開発者はアップデートのチェックとかそれっぽい必要性作って通信権限必須にさせるだけ。
それでほとんどのユーザーは付いてくる。マメな人の自衛手段としてはあるといいかもしれないけど。
とはいえそもそも、通信権限切った所で信頼できない開発者のアプリを入れる時点で間違いだろうな。
Re: (スコア:0)
Windowsじゃあるまいしアップデートはストアが全部管理してるんだが…。
Re: (スコア:0)
アプリごとに通信の可否が設定できるWindowsでもそんなことをしている変態はごく一部なので、NETWORKパーミッションの追加はマルウェアの減少には繋がらないでしょうね
# 変態のあなたにはGraphene OSをおすすめしておきます
# 私ですか?私も変態です
Re: (スコア:0)
Graphene OS、Androidのアプリと互換性があるようだし、良さそうですね。ただ、良くしらないところが作ってるOSを自分のケータイに入れるのはちょっと怖いかもです。
# 変態仲間(*・ω・)从(・ω・*)-☆
Re: (スコア:0)
> アプリごとに通信の可否が設定できるWindowsでも
Windowsだとお行儀よく公開API使っているアプリ以外はやりたい放題なのでセキュリティ機能としてあてにするものではない
珍しいんだ (スコア:0)
「トロイの木馬」の原義みたく、無害なアプリを装って正当に権限を取得した後しばらくしてから豹変するなんて常套手段だと思ってたのに珍しいんだね。
無料でフル機能とか広告なしで使えてたアプリが途中で制限アリになったり広告付きになることは稀にあるよね。
最悪広告オフの課金をしていても広告付きになるとか(ChMate)。
最近はそもそも素朴なアプリ開発がビジネスとして成立しなくなった感があるけど。3割も取られるしな。
Re: (スコア:0)
珍しいのは豹変するまで1年も待ったってトコなんじゃねーの?
Re: (スコア:0)
必要とされるまで何十年も潜伏するのが草というものなのでは。