シマンテック、ダウンロードされるたびに形態を変えるAndroidマルウェアを報告
モバイル・マルウェアでも使われ始めたサーバサイド・ポリモーフィズムの手口
セキュリティ・ベンダーの米国Symantecは2月2日、新手の悪質なトロイの木馬型Androidマルウェアを発見したことを公式ブログで明らかにした。このマルウェアは、ウイルス対策ソフトウェアによる検出をすり抜けるため、ダウンロードされるたびに自動的に形態を変えるという。
この手口はサーバサイド・ポリモーフィズムとして知られている。Windowsコンピュータを狙ったマルウェアでは何年も前から使われてきたが、モバイル・マルウェアでは採用され始めたばかりだ。
この手口では、マルウェアを拡散するサーバ上の特殊なメカニズムにより、トロイの木馬コードの一部が改変されることで、ダウンロードされるマルウェアがそれぞれ異なるものになる。この点で、マルウェアが実行されるたびに自身のコードを変化させるローカル・ポリモーフィズムとは異なっている。
Symantecは最近、この手口が、ロシアのWebサイトでホストされているAndroidマルウェアに使われていることを発見した。Symantec製品は、この亜種をすべて「Android.Opfake」として検出するようになっている。このマルウェアはロシアのWebサイトでホストされているが、多数の欧州諸国や旧ソ連諸国の有料電話番号にSMSメッセージを自動送信する命令を含んでいる。
セキュリティ製品が静的なシグネチャに大きく依存している場合などをはじめ、サーバサイド・ポリモーフィズムを採用したマルウェアの検出は困難なことがある。
Symantecの主席セキュリティ・レスポンス・マネジャー、ビクラム・タークル(Vikram Thakur)氏は、 「従来のコンピューティング・デバイスに影響するマルウェアの場合と同様に、ポリモーフィズムの巧妙度によって、この脅威の検出がどのくらい簡単か、あるいは難しいかが左右される」と述べている。
(Lucian Constantin/IDG News Serviceルーマニア支局)
