Linuxのセキュリティ機能悪用してAndroidデバイス狙うマルウェア登場
マイナビニュース / 2024年6月28日 7時31分
Promonは6月26日(現地時間)、「Snowblind Android Malware - Promon」において、Androidデバイスを狙うバンキング型トロイの木馬「Snowblind」を発見したと報じた。SnowblindはLinuxのセキュリティ機能「seccomp(secure computing mode)」を悪用してAndroidアプリを攻撃するとされる。
○seccompの悪用
Android向けマルウェアの多くはアクセシビリティサービスを悪用する。しかしながら、銀行アプリなどは悪用可能なアクセシビリティサービスの許可を検出して、警告表示または強制終了することで攻撃を妨害する。そこで、マルウェアの開発者は標的のアプリを改ざんして検出できないようにする手法を使用する。
ところが、近年のアプリには高度な改ざん検出機能が組み込まれ、この手法は使用できなくなった。そのため、マルウェアの開発者は新しい検出回避機能を開発する必要に迫られ、ユーザーは一時的ではあるが安全を手に入れることができた。
2023年11月(現地時間)、Promonはこの問題を解決したマルウェア「FjordPhantom」を発見したと発表した。FjordPhantomは仮想環境とAPI(Application Programming Interface)をフックする手法を利用して検出を回避するとされる(参考:「Android狙う新しいバンキング型マルウェアが拡散中、要注意 | TECH+(テックプラス)」)。
今回発見されたマルウェア「Snowblind」も同様に検出を回避する機能を持つという。Promonの分析によると、その手法が特徴的で、Androidアプリのサンドボックス化に利用されるセキュリティ機能の「seccomp-bpf(seccompの拡張版)」を悪用するという。
seccomp-bpfはシステムコールを制限し、プロセスをシステムリソースから完全に独立させる機能を提供する。また、システムコールをフィルタリングし、複数の簡単な処理を実行することができる。
Snowblindは標的のアプリに追加のライブラリを配置し、改ざん検出機能を回避する。具体的にはライブラリ内部でseccomp-bpfを設定し、改ざん防止機能から呼び出されるopen関数をフィルタリングする。open対象のファイルが改ざんした標的パッケージの場合、改ざんしていない元のパッケージを開いて応答することで改ざんの検出を回避する。
○対策
PromonはSnowblindの攻撃手法を防御できるアプリは少ないと推測している。今後対応するアプリは増加すると予想されるが、当面の間はPromonのセキュリティソリューションを導入することで同様の攻撃を防御できるという。
ユーザーにはこのような攻撃を回避するため、公式ストアからのみアプリをインストールし、不用意にアクセシビリティサービスを許可しないことが推奨されている。また、銀行アプリなどが警告を表示した場合は使用を中止し、マルウェアに感染していないかどうか調査することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Web会議ソフトを称するアプリから複数のマルウェア検出
マイナビニュース / 2024年6月21日 8時26分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
Excelを悪用してマルウェアを展開するウクライナを狙うサイバー攻撃特定
マイナビニュース / 2024年6月7日 10時25分
-
ネットスコープ、Cloudflare Workersを悪用したフィッシング手法 透過的フィッシングとHTMLスマグリングに関する調査結果を発表
PR TIMES / 2024年6月4日 13時45分
ランキング
-
1柴犬が必死でくわえようとするのはまさかの“一生無理”なヤツ 子どものような戦いに「激可愛すぎて永遠にリピート」
ねとらぼ / 2024年6月30日 7時0分
-
2別人級メイクの達人がすっぴんからパーティーメイクすると…… 驚きの大変貌に「めちゃめちゃビジュがいい!」「これはまさしく詐欺」
ねとらぼ / 2024年6月29日 19時30分
-
3iPhoneでも使うべし!Google系便利アプリ5選|iPhoneでGoogle
&GP / 2024年6月29日 22時0分
-
4オックスフォード大学ご訪問の天皇陛下、“ネクタイの柄”に注目集まる
ねとらぼ / 2024年6月29日 15時9分
-
5飛行機が“20分”遅れてしまい……? 乗り継ぎに間に合うよう空港職員がしてくれた“まさかの気遣い”に「すごく楽しそう」「引くほど速い」の声
ねとらぼ / 2024年6月29日 18時0分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)