1100万回以上ダウンロードされたAndroidアプリからトロイの木馬検出、確認を

画像提供：マイナビニュース

Kaspersky Labは9月23日(現地時間)、「Necro Trojan infiltrates Google Play and Spotify and WhatsApp mods｜Securelist」において、Google Playで配布されているアプリからトロイの木馬「Necro」を発見したと報じた。マルウェアを含むアプリは「Wuta Camera - Nice Shot Always」および「Max Browser-Private & Security」の2つで、総ダウンロード数は合計で1,100万回以上とされる。

○マルウェアが混入していたアプリの概要

マルウェアが混入していたアプリおよびバージョンは次のとおり。

Wuta Camera - Nice Shot Always 6.3.2.148から6.3.7.138未満のバージョン
Max Browser-Private & Security 1.2.0およびこれ以降のバージョン

○マルウェアが除去されたアプリ

マルウェアを除去したとされるアプリおよびバージョンは次のとおり。

Wuta Camera - Nice Shot Always 6.3.7.138

○マルウェア配布の原因

これらアプリは複数の広告モジュールを統合した「AdsRun」と呼ばれるソフトウェア開発キット(SDK: Software Development Kit)を採用。AdsRunは初期化時に「Coral SDK」と呼ばれるモジュールを初期化するが、このモジュールがマルウェアローダーとされる。

つまり、アプリの開発者は独自の広告配信システムを導入しようとして、悪意のあるSDKを導入したことになる。これはサプライチェーン攻撃と呼ばれる攻撃手法で、外部ソフトウェアを十分に監査せずに採用することで発生する。
○トロイの木馬「Necro」の概要

マルウェアローダーはコマンド＆コントロール(C2: Command and Control)サーバから画像ファイルをダウンロードする。この画像ファイルにはステガノグラフィーによるマルウェアの埋め込みがなされており、セキュリティソリューションの検出を回避する。マルウェアローダーはダウンロードした画像ファイルからトロイの木馬「Necro」を抽出して実行する。

Necroには少なくとも次の機能があるとされる。