マルウェア「CopyCat」、Android1400万台以上に感染 クレジット盗む
2017年7月26日 13:10
サイバーセキュリティの脅威は高度化・多様化している。ランサムウェアのような感染を知らせて利益を得るものもあれば、一部のマルウェアのように潜伏して利益を得続けるものもある。セキュリティ企業Check Pointの研究チームは、「Android」モバイルマルウェアの「CopyCat」が、2016年に1400万台以上の端末に感染していたことを明らかにした。CopyCatは、人気アプリに悪意あるコードを混入させて再パッケージ化。「Google Play」以外のアプリダウンロードサイトやフィッシング詐欺を通して配布される。
【こちらも】米下院議員、NSAにマルウェア対処方法公開を求める 情報流出で拡大
Check Pointの研究チームによると、ハッカーたちはCopyCatに感染した端末約1400万台のうち約800万台をルート化。設定の変更や操作が可能な状態にし、2ケ月間に約150万ドル(約1億7000万円)の利益を得ることに成功したという。これは、前例のない成功確率だ。端末に感染した後、CopyCatは端末が再起動されるまで何もせずに潜伏し、再起動後に端末のルート化を試みる。
CopyCatによる被害に関しては、感染端末の26%で不正な広告が表示され、30%でGoogle Playでのクレジットが盗まれた。CopyCatの攻撃は16年4月から5月にかけてピークとなり、主にアジアのユーザーが感染している。攻撃の犯人に関しては正体がわかっていないが、マルウェアのコードの一部が中国のアドネットワーク企業、Mobisummerにより署名されているため、関連が指摘されている。Googleの対応により攻撃はすでに鎮静化されているものの、感染端末によって犯人らは今も収益を得続けているとのこと。
ルート化にあたってはAndroid 5.0以前の6つの脆弱性を利用している。これらの脆弱性については、最も新しい脆弱性でも2年以上前に発見されたものとなっており、パッチが適用された最新の状態のものでは不正が働く心配はないとのこと。こうしたマルウェア感染の被害を免れるためには、ソフトウェアに最新のパッチを適用しておくことや、メールの添付ファイルやリンクについて、信頼できるもの以外はクリックしないことが基本となる。また、広告表示などで端末に不審な挙動がみられた場合には、すぐにセキュリティ対策ソフトによるウイルススキャン実施およびネットでのセキュリティ情報チェックをこころがけたい。(編集担当:久保田雄城)