ITトレンドニュース

２０１７年３月１日にセキュリティ会社である「Palo Alto Networks」が、Googleが運営している「Goolge Play」にて配信されている１３２本のアプリケーションに、隠しiFrameが仕込まれており不正なドメインにリンクされていることがわかりました。

なお、摘発されたアプリケーションはすでにGoogle Playから削除されております。

事件の経緯

「Palo Alto Networks」によると、対象となっていたのは料理、手芸、ガーデニングなどのデザイン系のアプリケーションとなっており、Android WebViewを用いた静的なWEBページへリンクしていたとコメントしております。

「Android WebViewを使ってリンクしていたページ」を調査したところ、HTMLのコード内にiFrameの記載があったことから、不正なドメインへリンクされていることが発覚しました。

その後、「Palo Alto Networks」が調査した時点では、リンク先のドメインはすでに削除されていたようでした。

悪質なアプリケーションは、インドネシアに在籍する７人の開発者が別々に開発したもので、最も人気の高いアプリケーションでは１万回以上インストールされていたようです。

開発に使用していたプラットフォームがすでにマルチウェアに感染しており、HTML内にiFrameが仕掛けられていたそうです。

なお、開発者である７人は、マルウェア感染のことを知らずに、すでに感染している統合開発環境をダウンロードしたか、感染済みのオンラインアプリ開発プラットフォームを７名で使いまわしていた可能性があるとPalo Altoは推測しており、「感染アプリの開発者に責任はなく、むしろ被害者だった公算が大きい」と弁護しているようだ。

感染したWebページを読み込むと、Windowsの不正なVBScriptを使用した実行ファイルをダウンロード、インストールするコードが埋め込まれていることも調査で発覚したようだ。

※Androidでは、VBScriptが実行されないため被害にあっていないようです。

今回の事件でPalo Altoでは、プラットフォームをマルチウェアに感染させることで「媒介」にし、開発者が知らないうちにマルチウェアを他のプラットフォームに拡散させようとする「新手の手口が浮上しつつある」と解説している。

出典元：Palo Alto Networks