Googleは米国時間3月13日、膨大な数の「Android」デバイスに感染した可能性があるマルウェアをブロックしたと発表した。このマルウェアは、同社によって「Chamois」(ヤギの一種であるシャモアに由来する)と命名された。
提供:Google
Chamoisは、モバイル向け広告を用いた大規模な詐欺のためにAndroidデバイスを乗っ取ろうとする新たな試みだ。この他にも、ここ1年で見ると「HummingBad」を含む同様の試みがあった。HummingBadは、ピーク時に1000万台ものデバイスに感染し、それらデバイス上の不正な広告を通じて1カ月あたり推定30万ドルの利益を生み出していた。
それぞれのマルウェアファミリは、悪意のあるさまざまなアプリに潜んでいる可能性がある。そういったアプリの一部が「Google Play」の審査をくぐり抜ける場合もあるが、ほとんどはサードパーティーのアプリストア経由で拡散している。
GoogleはこれらのアプリをPotentially Harmful App(PHA:有害な可能性のあるアプリ)と位置付け、Google Playアプリを搭載したすべてのデバイスにインストールされている「Verify Apps」というセキュリティ機能によって検出、排除に取り組んでいる。ユーザーはこの機能を利用することで、隠ぺいされたアプリであってもアンインストールが可能になる。同機能は最近、HummingBadや「Ghost Push」「Gooligan」といったファミリに感染した2万5000本以上のアプリの検出に利用された。
Googleによると、最近発見されたChamoisは「複数の配布経路」を通じて拡散されており、「Android上でこれまでに発見された最大のPHAファミリの1つ」だという。
Chamoisによる詐欺行為は、ポップアップ広告を通じて不正なトラフィックを生成するアプリをインストールしたり、有料SMSを用いた詐欺を実行する他のアプリをバックグラウンドで自動的にインストールするといったかたちで行われていた。また、Chamoisは追加のプラグインをダウンロードし、実行してもいた。
この悪質なアプリはデバイスのアプリ一覧に表示されないため、インストールしてしまったユーザーによる発見や削除を難しくしているという。
Googleは、定期的に実施している広告トラフィックの品質評価過程でChamoisを発見したと述べている。また同社は、このマルウェアファミリが検知、捕捉されたのは今回が初めてだと確信している。その他の主要なマルウェアファミリは、サードパーティーのマルウェア研究者らによって発見されている。
Googleは、ChamoisがDOI(Dead or Infected)指標で高いランクとなっていたことに言及している。DOI指標によって、ある種のアプリ群に起因してユーザーがデバイスを工場出荷時点の状態にリセットした、あるいはデバイスを破棄した事例数が急増した場合に、注意喚起が可能になっている。
同社は近々公開を予定しているレポート「Android Security 2016 Year In Review」(2016年版Androidセキュリティレポート)でAndroidボットネットの脅威に関する詳細を発表する予定だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。