Playストアのアプリはどのようにマルウェアに感染していますか?
Google Playストアの一部のアプリに明らかに「感染」している Xavierマルウェア について読みました。
いつものように、このようなニュースがある場合、「感染した」などの用語を使用して、ほとんどの人が関連できるレベルまでそれを下げます。新聞によっては、Playストアでウイルスが動いているように聞こえることがあります。アプリを1つずつ「感染させる」可能性は低いと思います。私がリンクした記事は、マルウェアが実際に影響を受けるアプリで使用されるサードパーティの広告ライブラリであることを示しているようです。
私は私自身も開発者ですが、アプリがライブラリに「感染する」可能性があるかどうかはわかりません。ライブラリは、必要な機能を提供するため、アプリに含めることを積極的に選択したものです。彼らは、ライブラリメーカーが故意に悪意のあるコードを広告ライブラリに含めたことを意味しているのか、それともそのライブラリが何らかの未知の俳優によって何らかの形で「感染」したのか?
これはトレンドマイクロの分析へのリンクです。ライブラリがアプリに「感染」しているのではなく、意図的に使用されているように見えます。アプリの主な目的はマルウェアを配信することだと思います。
この記事から、私が最も飛び出しているのは次のとおりです。「...リモートサーバーからコードをダウンロードし、それをロードして実行する組み込みの悪意のある動作が付属しています。文字列暗号化、インターネットデータ暗号化、エミュレータ検出などの方法を使用して検出されないようにしました。」
それを危険にする3つのこと:1.)それはそれとそれのコマンド&コントロールサーバー間のトラフィックを暗号化できます。 2.)上記のサーバーからコードをダウンロードして実行できます。 3.)検出を回避します。リモートでコードをダウンロードして実行できる(考えてみてください:動作を変更する更新)、トラフィックを暗号化して、何が送り返されるのか誰にもわからないようにし、検出を回避しようとすると、後でさらに悪質なことをするように設計されていることがわかります
この特定のケースでは、Xavierは悪意のある広告ライブラリとしてのみ開発されました。ほとんどの場合、検出保護のレイヤーが多すぎて手の込んだアプローチをとっているので、ハイジャックされたライブラリになるにはあまりにも洗練されているからです。その主な脅威は、リモートコマンドを実行し、コードをリモートでダウンロード/実行する能力です。
信頼できる広告ライブラリのみをお勧めします。ライブラリを悪用する疑いを確認または否定するために、一般的にライブラリを使用する前に、常に徹底的な調査を行うことができます。
ここでロングショットの「少し」。感染の別の方法はフィッシングです。最近、Chromeおよびその他のアドオンがフィッシング詐欺の標的になっているため、アプリ開発者もフィッシング攻撃を受けています。それを作成するために使用されるアプリとテクノロジーに関する高度な知識が必要ですが、悪意のある更新を常に押し出すことができます。