Androidアイコンは、クリック時にユーザーをフィッシングウェブサイトに誘導する欠陥を利用してハッカーに悪用される可能性がある – FireEye

FireEyeは、最近、ユーザーのAndroidスマートフォンやタブレット上の他のアプリのアイコンを変更できる悪意のあるAndroidアプリを発見したと報告しています。アイコンが変更されると、スマートフォンユーザーがそれをクリックした際に、ユーザーはフィッシングウェブサイトに送信されます。

FireEyeのブログレポートは、セキュリティ研究者のHui Xue、Yulong Zhang、Tao Weiによって書かれており、悪意のあるアプリがAndroidのデフォルトランチャーとアイコンの設定を変更するために一連の権限を悪用したと述べています。

マルウェアは、「com.android.launcher.permission.READ_SETTINGS」と「com.android.launcher.permission.WRITE_SETTINGS」として知られる一連の権限を悪用しています。

FireEyeの研究者によると、上記の2つの権限は長い間「通常」と分類されており、悪意のある可能性がないと考えられるアプリケーション権限に与えられる指定です。したがって、これらの権限は、Androidユーザーが新しいアプリをインストールする際に「承認」しなければならない標準の権限セットには含まれていません。

Android OSによって与えられたこの「通常」という指定は、マルウェアの著者がこの特定の悪意のあるアプリを書くために使用した抜け穴です。悪意のあるアプリは「これらの通常の権限を使用して」、正当なAndroidホームスクリーンのアイコンをフィッシングアプリやウェブサイトを指す偽のものに置き換えたと彼らは書いています。

著者たちはさらに、FireEyeがAndroidバージョン4.2.2を実行しているGoogleのNexus 7タブレットを使用して、アイコンが他のウェブサイトに人々を送信するように変更できることを示す概念実証攻撃を開発したと述べています。FireEyeは、Googleのセキュリティチェックを回避し、「ThisIsATestApp」と呼ばれるアプリをGoogle Playストアにアップロードすることができ、概念実証を確認した後に削除されました。

GoogleのPlayストアは、特にGoogle Playに偽のアプリが出現した後、アプリのセキュリティ問題をチェックしますが、アプリを正当なものと見なしてGoogle Playに掲載しました。FireEyeは、Google Playストアにリストされていた短い間に誰もPoCアプリをダウンロードしなかったと付け加えました。

FireEyeは、2013年10月にこの欠陥に関する概念実証をGoogleに提供し、Googleは2014年2月にこの欠陥を克服するためのパッチを発行したと述べています。Googleは、このパッチをすべてのOEMパートナーに発行しましたが、FireEyeはすべてのOEMがセキュリティパッチを迅速にアップグレードおよび更新するわけではないと述べています。これは、ストックROMで動作しているいくつかのAndroidスマートフォンがまだこの悪意のあるアプリに対して脆弱であることを意味します。

FireEyeは、世界中で入手可能なカスタムROMでも上記の権限を正当なものとして扱っているため、CyanogenModを実行しているAndroidスマートフォンもこの攻撃に対して脆弱であると述べています。FireEyeは、CyanogenModカスタムROMを実行しているNexus 7や、Android 4.3を実行しているSamsung Galaxy S4、Android 4.4.2を実行しているHTC Oneをテストしました。すべてが「read_settings」と「write_settings」権限を通常として分類しています。

FireEyeは、すべてのAndroidベンダーにAndroid OEMバージョンをセキュリティパッチでアップグレードするよう促しています。実際の危険は、攻撃者が銀行アプリのアイコンを変更し、ユーザーを偽のウェブサイトで銀行口座の資格情報などの機密情報を開示させることができることです。

Resource : FireEye Blog