Kaspersky Lab、318,000のAndroidユーザーを攻撃したモバイルバンキング型トロイの木馬「Svpeng」の手口を解明

～Google AdSenseを経由して拡散、Chromeブラウザのバグを悪用しAndroid端末内に侵入～

[本リリースは、2016年11月7日にKaspersky Labが発表したリリースに基づいた抄訳です]

Kaspersky Labのリサーチャーは、今年8月、モバイルバンキング型トロイの木馬の亜種「Svpeng」が、Googleの広告配信サービスAdSenseを経由して拡散されていることを発見しました。Svpengは7月中旬からこれまでに累計31,8000ユーザー、1日に最大37,000ユーザーのAndroid端末で検知されています。Svpengは「Google Chrome for Android」のバグを悪用して侵入し、Android端末内の銀行口座情報や通話履歴、SMSやMMS、ブラウザのブックマーク、連絡先などを窃取することを目的としていました。

Svpengの最初の事例は、2016年7月中旬に起きたロシアのオンラインメディアに対する攻撃だと見られています。Kaspersky Labのリサーチャーが、Svpengの攻撃プロセスを解明していくなかで、攻撃の起点がGoogle AdSenseで配信されている広告だったことを突きとめました。この広告はSvpengが仕込まれたAKPファイル^※ をダウンロードさせるもので、マルウェアに感染していないWebサイトに「普通に」表示されていました。Google Chrome for AndroidでGoogle AdSenseの広告が設置されたWebサイトにアクセスし、その広告が読み込まれたとき、閲覧者のAndroid端末のSDカードにSvpengを仕込んだAKPファイルが自動的にダウンロードされていました。Svpengはブラウザの重要なアップデートや一般的なアプリケーションになりすますことで、ユーザーにインストールを承認させていました。Svpengはインストール済みアプリの一覧には表示されず、デバイス管理者の権限を要求するため、気づきにくくなっていました。

モバイル端末で外部のWebリンクからAPKファイルをダウンロードしようとすると、危険性のあるオブジェクトがダウンロードされるとして、通常はブラウザに警告が表示されますが、今回のケースでは、Google Chrome for Androidのバグを悪用してセキュリティの脆弱性を突き、ユーザーへの通知なしにSvpengが仕込まれたAPKファイルのダウンロードが可能になっていました。

Kaspersky Labは、このバグを発見し速やかにGoogleに報告しました。このバグに対応するパッチは、Google Chrome for Androidの直近の更新で提供される予定です。

Kaspersky Labのマルウェアアナリストであるニキータ・ブーチュカ（Nikita Buchka）は、次のように述べています。「Svpengのケースで、サイバー攻撃からユーザーを保護するという目標を企業間で共有し、協力することの重要性が裏付けられました。今回、Androidエコシステムの安全化に協力することができ光栄に感じるとともに、われわれの報告に対するGoogle社の素早い対応に感謝しています。ユーザー側でできる対策としては、信頼できない情報源からはアプリケーションをダウンロードせず、アプリが要求する権限やその要求の妥当性を理解し、必要性を判断することが大事です」

Kaspersky Labでは、Google Chrome for Androidを最新バージョンにアップデートし、効果的にセキュリティ製品を利用することを推奨しています。また、攻撃者やマルウェア作成者はユーザーを欺いて悪意あるソフトウェアをインストールさせ、広範なデバイス管理者権限を承認させようとします。そのために使われるツールや手口にも注意が必要です。

Svpengは、ロシア語圏を主な攻撃対象にしていますが、全世界に拡散する恐れもあります。このマルウェアは配信方法が特殊なため、Google AdSenceを利用して広告を表示している世界中の何百万ものWebページがリスクに晒されています。

カスペルスキー製品では、モバイルバンキング型トロイの木馬「Svpeng」をTrojan-Banker.AndroidOS.Svpeng.qとして検知・ブロックします。

Svpengの詳細については、Securelist.comをご覧ください。

※　Androidアプリケーションを格納するためのファイル形式