ロシアのサイトで配布されているapkには、ウイルスが仕込まれている可能性が高いと聞く。では、実際にインストールするとどうなるのか。検証してみた。
Android端末がターゲットにされるマルウェアで多く見られるのは、アプリをインストールすると、バックグラウンドでマルウェアが動作し、課金型のSMSを送信しようとするという形式。課金型SMSが利用されている欧州などでみられるマルウェアでもある。
日本では課金型SMSが利用されていないことから、被害は考えにくい。ただ、インストール後にどのような変化が起きるのか、気になるところではある。
そこで、とあるロシアのサイトで人気があるアプリをダウンロードしてみた。
1度目のダウンロードで、さっそく脅威が検出された。アプリを入手したサイトはロシアのドメインで、様々なアプリを配布しているサイトだった。それなりに名が知られているようである。アプリのアップロードを誰が行っているのか不明なので、このapkファイルを誰が配布しているのかまでは調べていない。
アプリをインストールすると、再度脅威が検出される。
ここで気づいたのだが、写真の両ファイル名を見ると、名称が異なるのが分かるだろう。インストール後は、「com.software.common」となっていた。インストール前に想定していたアイコンもなく、「Install」という別のアイコンがあった。
インストールしたのは、ダウンロードする際にイメージしていたファイルとは別物だったのだ。攻撃者は、apkのファイル名を実際の内容とは異なる表記をしていた。気をつけたいポイントである。
脅威を検出したマルウェアは、「Android.SmsSend.origin.284」という名称。Doctor Webのいう「被害者の承諾無しに有料の番号にSMSを送信する、トロイの木馬Android.SmsSendファミリー」に属しているのかもしれない。
写真は、マルウェアが仕込まれていたファイルのアイコン。アプリを多数インストールしていると、見落としてしまいそうな、地味なアイコンだった。
SIMを外しているせいか、アイコンをタップしても強制終了になるだけで、動きはなかった。
Androidのマルウェアの数はWindowsに比べるとごくわずかで、手法もWindowsでよくある方法が多く、Android独自の手法というのはまだ発見されていない。
マルウェアの面でAndroid端末は、現状、危険性は少ない。ただ、今後、何者かが厄介なウイルスを作成する可能性はある。アプリオとしては、むやみに危険性を煽るのではなく、じっくりとマルウェアの最新動向を追っていきたいと考えている。