Androidを狙う標的型スパイウェア、Google Playで配信 Googleが削除

標的型スパイウェア「Lipizzan」を仕込んだアプリが、「バックアップ」などの一見無害なアプリを装ってGoogle Playで配信され、100台ほどのデバイスにインストールされていたという。

» 2017年07月27日 08時45分 公開
[鈴木聖子ITmedia]

 米Googleは7月26日、新手の標的型スパイウェア「Lipizzan」を仕込んだアプリがGoogle Playで配信されていたことが分かり、Androidのセキュリティサービス「Google Playプロテクト」を使って削除する措置を講じたと発表した。

Google Security Blog マルウェアに対処したことを説明するGoogle Security Blogのエントリー

 Googleによると、Lipizzanは狙った相手の電子メールやSMS、位置情報、通話記録、メディアなどの情報を盗み出す標的型スパイウェアで、コードの中にはサイバー兵器会社「Equus Technologies」への参照が含まれていたという。

 Lipizzanを仕込んだアプリ(約20種類)が100台ほどのデバイスに配信されているのが発見され、Googleでは開発者をブロックするとともに、問題のアプリをAndroidのエコシステムから締め出した。影響を受けた全デバイスにはGoogle Playプロテクト経由で通知をして、アプリを削除したとしている。

 問題のアプリはGoogle Playを含む複数のチャネル経由で、「バックアップ」などの一見無害なアプリを装って配信されていた。インストールすると「ライセンス認証」をダウンロードしてデバイスをチェックし、一定の基準を満たすと、既知のエクスプロイトを使ってデバイスをroot化し、データを抽出して外部の制御サーバに送信する仕組みだった。

対象のアプリ バックアップアプリなどを装ってGoogle Playで公開されていた

 感染したデバイスから、GmailやLinkedIn、Messenger、Snapchat、Whatsappといったアプリのデータを定期的に取得する機能も実装していたという。

 「バックアップ」を装った感染アプリがGoogle Playから削除された後も、1週間もたたないうちに、外観を変えて「クリーナー」「ノートパッド」「サウンドレコーダー」「アラーム管理」などに見せかけた同様のアプリが再びアップロードされたといい、Googleではこれらも直ちに検出して対処したと伝えている。

 Lipizzanに感染したのは「Androidデバイスのわずか0.000007%にすぎない」とGoogleは強調。ユーザーに対しては、Google Playプロテクトにオプトインしていることを確認し、アプリはGoogle Playストアからのみ入手するといった感染防止策を徹底するよう呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ