Google Cloud セキュリティ チームは、Google Play ストアの審査プロセスとセキュリティ管理を回避した後、悪意のある攻撃者が Android デバイスにマルウェアを送り込むために使用されるバージョニングとして知られる一般的な戦術を認めました。
この手法は、すでにインストールされているアプリケーションに配信される更新を通じて悪意のあるペイロードを導入するか、または動的コード ローディング (DCL)と呼ばれる攻撃者の制御下にあるサーバーから悪意のあるコードをロードすることによって機能します。
これにより、脅威アクターは、アプリ ストアの静的分析チェックを回避して、ペイロードをネイティブ コード、Dalvik コード、または JavaScript コードとして Android デバイスに展開することができます。
「悪意のある攻撃者が Google Play のセキュリティ制御を回避しようとする 1 つの方法は、バージョン管理を利用することです」と同社は今年の脅威傾向レポートで述べています。
「バージョン管理は、開発者が Google Play ストアでアプリの初期バージョンをリリースし、そのアプリが正規のものと思われ、当社のチェックに合格した後、サードパーティのサーバーからアップデートを受け取り、エンド ユーザーのデバイス上のコードが変更され、悪意のあるアクティビティが可能になる場合に発生します。 」
Googleは、Playストアに含めるために提出されたすべてのアプリケーションとパッチは厳格なPHA(有害な可能性のあるアプリケーション)審査を通過するとしているが、「それらの制御の一部」はDCLを介してバイパスされているという。
.png)
Google は、そのような活動を行っていることが判明したアプリケーションはGoogle Play の不正行為ポリシーに違反しており、 バックドアとして分類される可能性があると説明しました。
同社の Play ポリシー センターのガイドラインによれば、Google Play を通じて配布されるアプリは、Google Play が提供する公式の更新メカニズム以外の手段でアプリ自体を変更、置き換え、更新することが明示的に禁止されています。
さらに、アプリが実行可能コード (dex、JAR、.so ファイルなど) を外部ソースから公式 Android App Store にダウンロードすることは固く禁じられています。
Google はまた、 2021 年 10 月に Clafy の脅威インテリジェンス チームによって初めて発見され、この手法を実際に利用していることで知られるSharkBotという名前の特定のマルウェア亜種も強調しました。
SharkBot は、Android デバイスを侵害した後、Automated Transfer Service (ATS) プロトコルを介して不正な送金を行うバンキング マルウェアです。
Play ストア システムによる検出を回避するために、SharkBot を担当する攻撃者は、機能が制限されたバージョンを Google Play でリリースし、アプリの不審な性質を隠すという、現在では一般的な戦略を採用しています。
ただし、ユーザーがトロイの木馬化されたアプリをダウンロードすると、マルウェアの完全バージョンがダウンロードされることになります。
Sharkbot はAndroid ウイルス対策ソフトウェアやさまざまなシステム ユーティリティとして偽装されており、Google Play ストアの悪意のある動作の提出チェックに合格したアプリを介して数千のユーザーに感染することに成功しました。
サイバーセキュリティ レポーターのブライアン クレブス氏も、ThreatFabric セキュリティ研究者によって最近明らかにされた、同じ目的での別のモバイル マルウェア難読化技術の使用を強調しました。
この方法は事実上、Google のアプリ分析ツールを破壊し、悪意のある APK (Android アプリケーション パッケージ) をスキャンするのを防ぎます。その結果、これらの有害な APK は、無効とラベル付けされているにもかかわらず、ユーザーのデバイスに正常にインストールされる可能性があります。
Comments