LINEの情報を盗む攻撃見つかる、Androidの機能を悪用

攻撃が成立するための条件は厳しいが、既に国内ユーザーを狙う攻撃が確認されている。

» 2015年07月02日 15時56分 公開
[ITmedia]

 モバイルセキュリティ会社のルックアウト・ジャパンは7月2日、Androidの機能を悪用してLINEアプリの情報を盗む攻撃を国内で確認したと発表した。攻撃がすぐに拡散する可能性は低いものの、手法が示されたことで危険性が高まったとしている。

 この攻撃には、Android端末を遠隔操作する市販ツールを悪用して開発されたマルウェアが使われる。同社はこのマルウェアを「AndroRATIntern」と命名した。Android端末に感染したAndroRATInternは、OSの「ユーザー補助」にある「テキスト読み上げ」機能を不正に利用して画面に表示されるデータを盗み、外部の攻撃者に送信するという。攻撃ではユーザーがLINEアプリのメッセージデータを表示した時に、AndroRATInternがデータを盗むことが確認された。

Android OSの「ユーザー補助」機能

 「テキスト読み上げ」機能は、目の不自由なユーザーのために画面に表示されるテキストを音声で読み上げる機能。通常はAndroid OSのセキュリティ機構によって、外部アプリが勝手に「テキスト読み上げ」機能の読み上げるテキストデータへアクセスするはできない。しかしAndroRATInternは、ユーザーに気付かれることなく、テキストデータにアクセスできてしまうという。

AndroRATInternがインストールされた状態(ルックアウトより)
AndroRATInternがLINEアプリからデータを盗む流れ(同)

 攻撃を成立させるには、攻撃者がAndroRATInternをローカルの端末へ直接インストールさせる必要があり、端末側で開発者向け機能のAndroid Debug Bridge(ADB)とサイドローディングが使用できる状態にあること、ユーザー補助が有効になっていることといった条件が必要。このため、攻撃が不特定多数のユーザーに直ちに及ぶ危険性は低いと想定されている。現状では極めて限定されたユーザーが狙われている可能性が高い。

 AndroRATInternが盗むLINEアプリのメッセージは、攻撃時点で画面に表示されているテキストのみで、アプリに保存されている画面に表示されていないデータは盗めないという。

 同社ではAndroRATInternに悪用されたツールが誰でも購入できることや、具体的な攻撃手法が示されたことで、特定の個人や企業ユーザーの機密情報を狙う標的型攻撃などに使われる恐れがあると警告している。

Copyright © ITmedia, Inc. All Rights Reserved.