is702
ニュース

ルートキットを組み込んだ不正アプリ「ZNIU」が大量出現

2017/10/02

トレンドマイクロは9月29日、公式ブログで「『ZNIU』:脆弱性Dirty COWを突くAndroid端末向け不正アプリを確認」と題する記事を公開しました。Linuxの脆弱性「Dirty COW」を使ってAndroid端末を攻撃する不正アプリが、初めて確認されたとのことです。

「Dirty COW」(CVE-2016-5195)は、システムのルート権限を取得できる深刻な脆弱性として、2016年に初めて一般公開されました。Dirty COWは、Red HatのようなLinuxシステムだけでなく、Linuxベースのカーネルを持っているAndroidにも存在しましたが、Android端末への攻撃は、その後確認されていませんでした。今回初めてDirty COWを使う不正アプリが確認され、「ZNIU」(ズィーニュー)と名付けられました。

ZNIUは2017年8月、中国およびインドを中心に、米国、日本、カナダ、ドイツ、インドネシア等、世界40か国以上で検出。9月25日時点で5000人を超えるユーザに影響を与えたと見られています。トレンドマイクロのクラウド型セキュリティ技術基盤(SPN)によると、ZNIUが仕込まれた不正アプリ1200超が、不正サイトにて確認されました。9月25日以降の継続調査では、同様の不正アプリ30万以上が、新たに確認されています。

これらの不正アプリには、Dirty COWの脆弱性を攻撃できるルートキットが含まれており、ポルノやゲームアプリとして偽装されていました。

ZNIUが起動されると、コマンド&コントロール(C&C)サーバと通信し、システムの制限を解除するため、脆弱性Dirty COWを突いて、端末上で権限昇格します。同時に、遠隔攻撃の準備として、端末にバックドアを設置します。さらに、通信事業者の情報を収集して、ユーザになりすまし、ショートメッセージサービス(SMS)対応の決済サービスを通して通信事業者と取り引きを行います。取り引き完了後は端末からメッセージを削除するため、痕跡も残りません。なお、代金はユーザに気づかれないよう、20元(340円前後)と少額に設定されており、中国にあるダミー会社に送金されていました。そのためZNIUは、中国の通信事業者に加入するユーザを標的にしていると考えられます。

またZNIUは、他のコンポーネントには変更を加えず、簡単にサードパーティのアプリにルートキットを挿入できる仕様とわかっています。そのため、大規模な不正アプリ拡散に利用される可能性があります。トレンドマイクロは、ZNIUについてGoogleに報告しており、これを受けて Google は、Google Play プロテクトのセキュリティ機能によって端末が保護されることを検証済みです。



ZINUによるSMSでの取り引きの様子<br />

ZINUによるSMSでの取り引きの様子