Androidユーザーへの警鐘!脆弱性「StrandHogg」の悪用

Androidの全バージョンが影響を受け、パッチはまだリリースされず

脆弱性「StrandHogg」が重大である理由は、少なくとも2つあります。1つ目は、現在のバージョンである10を含むすべてのバージョンのAndroidと大半のアプリが脆弱であることです。2つ目は、大抵の場合、攻撃が検知されないことです。セキュリティ会社であるPromonは、この脆弱性を発見し、攻撃に気を付けるように呼びかけています。

機密情報や権限への検知されない攻撃

攻撃者は正当なアプリに入り込み、手動で起動を行い、あたかも本物に見えるようなフィッシング用の画面を表示させます。権限やログイン情報が、この正当なアプリの名の下で要求されます。この時点で、機密情報やアクセス権限が攻撃者の手に渡っていることは、ユーザーには明確ではありません。情報が入力されると、ユーザーは使用していた元のアプリに戻され、感染や攻撃が行われたことに気が付くことはありません。
IKARUSのAndroidマルウェアの専門家であるTibor Elias氏は「既に昨年、同様の攻撃が起こっています。例として、バンキングマルウェアであるCerberusが挙げられます」と話しています。さらに「しかし、他のアプリにコンポーネントを描く、既知のオーバーレイ攻撃に対して、StrandHoggは、正当なアプリが起動されると、タスクマネージャに通常の画面の上に悪質な画面を起動するように命令します。マルウェアのウィンドウが前面に表示され、無害のアプリはバックグラウンドに移動するか、閉じられてしまうのです」と続けています。

システムのエラーか、アプリケーションの脆弱性か

この状況は標準的なタスク機能であるtaskAffinityとallowTaskReparentingによって引き起こされます。これらのタスク機能は、インストールされたアプリがあらゆるアイデンティティを利用できるようにするものです。Promonによると、脆弱性は夏にGoogleに報告されましたが、現時点でセキュリティ更新が予定されているという報告は届いていないとのことです。
「StrandHoggがAndroidの脆弱性であるのか、それともAndroidにとって唯一の脆弱性であるのか、またはアプリケーションの設定ミスなのかという点で物議を醸しています」と、Tibor Elias氏は話しています。一方で、この状況を巧みに利用するためには、既にデバイスに悪質なコードがあるはずです。通常、ドロッパーと呼ばれるアプリによりコードを侵入させ、マルウェアをダウンロードさせます。この場合、アプリのインストールに関する典型的なセキュリティ対策が効果を発揮します。Google Playプロテクトのみに頼ってはいけません。残念なことに悪質なアプリは、常にGoogleの内部セキュリティプログラムをかいくぐることに成功しています。

感染はGoogle Playからも起こり得る

セキュリティ会社Lookoutは、バンキング用トロイの木馬「BankBot」を含む36個のアプリがこの脆弱性を悪用していると報告しています。有害であると特定されたアプリ(アプリ名は非公開)は、Google Playでも公表されていましたが、この報告以来削除されています。Android用の専門マルウェアスキャナーの利用やアプリを選択する際に気を付けたり、疑ってみたりすることに加えて、スマートフォンやタブレットを操作する際にも注意することをお勧めします。ログインの要求には注意を払い、既にログインをしているにもかかわらずログイン要求がある、または権限を繰り返し要求されるようなことがある場合は疑ってみましょう。誤字脱字、ロゴがない、もしくは不正なロゴである場合やボタンやリンクが機能しない場合も、注意が必要です。疑わしい場合は、エレコムの「イカロスモバイルセキュリティ」を利用して、IKARUS Malware Labまでお送りください。