プラットフォームをマルウェアの「媒介」に利用して、知らないうちにマルウェアを他のプラットフォームに拡散させようとする手口が浮上している。
セキュリティ企業のPalo Alto Networksは3月1日、Google Playで配信されていたAndroidアプリ132本に隠しiFrameが仕込まれ、不正なドメインにリンクされているのが見つかったと伝えた。問題のアプリは既にGoogle Playから削除されているという。
Palo Altoによると、感染していたのは料理や手芸、ガーデニングなどのデザインアプリで、Android WebViewを使って静的なHTMLページを表示するという共通点があった。このページを詳しく調べたところ、HTMLコードの中にiFrameが隠されていて、悪質なドメインにリンクされていることが判明。同社が調査した時点でこのドメインは既にダウンしていたという。
感染アプリはインドネシアの開発者7人が別々に開発したもので、最も人気の高いアプリは1万回以上インストールされていた。開発に使われたプラットフォームがマルウェアに感染していて、HTMLページの末尾に悪質なコンテンツを挿入する仕掛けになっていたと見られる。
7人の開発者はマルウェア感染のことを知らずに同じホスティングWebサイトから統合開発環境をダウンロードしたか、同じオンラインアプリ開発プラットフォームを使っていた可能性があるとPalo Altoは推測し、「感染アプリの開発者に責任はなく、むしろ被害者だった公算が大きい」と弁護している。
感染ページの中には、ページを読み込む過程でMicrosoft Windowsの不正なVBScriptを使った実行可能ファイルをダウンロードしてインストールしようとするものも見つかった。AndroidではVBScriptは実行されないため無害だった。しかしPalo Altoでは、プラットフォームをマルウェアの「媒介」に利用して、知らないうちにマルウェアを他のプラットフォームに拡散させようとする新手の手口が浮上しつつあると解説している。
Copyright © ITmedia, Inc. All Rights Reserved.