引用元:https://news.drweb.co.jp/show/?i=11366&lng=ja&c=14
アンチウイルス製品を提供する情報セキュリティベンダ「株式会社Doctor Web Pacific」が、人気の高いAndroid対象のゲーム「BlazBlue」にて新たなトロイの木馬系マルウェアを発見したとのことで、平成29年7月5日に同社のWebサイトでその概要を報告しました。
本件にて発見されたマルウェアは「Android.DownLoader.558.origin」というダウンローダ型トロイの木馬で、BlazBlueのプログラム内に組み込まれており、確認されている動作としては、別のソフトウェアをユーザに気づかれないようダウンロード、インストール、及び起動を行うことができるとされており、当該アプリケーションのダウンロード数は、既に100万回を上回っています。
また、このトロイの木馬はAndroidを対象としたプログラムのアップデートを自動化、及び簡略化するために設計された「Excelliance」というソフトウェアパッケージ(SDK)の要素の一部です。
使用されているSDKは必要なコンポーネントのみを個々にダウンロードすることができ、ユーザがアプリケーションにおけるアップデートを把握していなくとも、Android端末上にインストールされたソフトウェアを常に最新のバージョンに保つことが可能になります。
一方で、Excellianceは、不正なアプリケーションコンポーネントをダウンロード・起動する脆弱性を持つことから、ダウンローダ型トロイの木馬として動作します。
Android.DownLoader.558.originは、自身が組み込まれているプログラムの初回起動と同時に動作を開始し、他のアプリケーションの要素と一緒に、ディレクトリから資源と共に抽出、及び復号化されます。
その後は、ユーザがトロイの木馬へ感染したアプリケーションを起動しなくとも、Android端末がインターネットに接続される度に自動的に起動します。
また、このトロイの木馬はネットワークアクティビティを追跡し、C&Cサーバへ接続試行しますが、サーバの設定により、Android.DownLoader.558.originは応答として、別のプログラムコンポーネントをダウンロードするコマンドを受け取る場合があるとのことです。
アプリケーションのアップデートに加え、Android.DownLoader.558.originは個別のAPKファイル、DEXファイル、ELFファイルをダウンロードし、これらのファイルが起動されることで、広告モジュールや他の不正プログラム、あるいは、外部より他のマルウェアがダウンロードされ、許可なしに実行される可能性が挙げられます。
このことより、同社はGoogle社へ「BlazBlue」の危険性を報告したとのことですが、今も当該アプリはGoogle Play上でダウンロード可能な状態にあるとのことです。