Androidのユーザー補助機能「テキスト読み上げ」を悪用して「LINE」の内容を盗み見るマルウェアが発見される!監視ツール「Androidアナライザー」に注意
| Amazon.co.jpなどで販売されているアプリ「Androidアナライザー」に注意!? |
Lookoutは2日(現地時間)、日本などで人気のスマートフォン(スマホ)など向けコミュニケーションアプリ「LINE」を標的にしたAndroid向けマルウェア(遠隔型トロイの木馬、mRAT)「AndroRATIntern」を発見したと発表しています。
AndroRATInternは日本でAndroid搭載製品の盗難・紛失対策や子供・老人の防犯対策、社員の勤怠チェック、LINEのいじめ対策などを目的に販売されている「Androidアナライザー」(Amazon.co.jpなどでも販売)というアプリに含まれているとのこと。
そのため、アプリ配信マーケット「Google Playストア」からダウンロードするのではなく、購入したパッケージからapkファイルを直接インストールする必要があるため、感染ルートは限定的だとしながらも、親などが子供に同意を得て利用する場合などではなく、利用者の同意なくこっそりとAndroidにこの製品をインストールした場合にLINEのやり取りを遠隔で盗み見られてしまうとして注意喚起しています。
AndroRATInternは無料で配布されている「AndroRAT」というマルウェアツールキットを用いて開発されており、本来は目の見えない人などが音声で情報を得るために利用するAndroid標準のユーザー補助機能「テキスト読み上げ」を悪用し、利用者がメッセージを開いたときにテキスト読み上げに渡されるデータを横取りして盗み見るようにしています。
そのため、メッセージを開いた時だけ情報が搾取でき、届いただけだったり、過去に開いたメッセージの情報は盗み見られないとのこと。通常、明示的なアプリ権限がなければ、アプリによる他アプリからデータの取り出しはAndroidアプリケーション・サンドボックスによって阻止されますが、AndroRATInternはこのテキスト読み上げを悪用することで迂回してしまっているとしています。
なお、同社では特にLINEに脆弱性があるというわけではなく、あくまで今回、AndroidアナライザーにLINEをパソコン(PC)でチェックする機能があったために発見されたということです。
Androidアナライザーの製品の性質上、インストールされた状態でもホーム画面やアプリ一覧にはアイコンが表示されず、AndroRATInternは遠隔コマンドを受信するまでバックグラウンドで待機していることから利用者はほぼ気づくことは難しいため、注意するように警告しています。
記事執筆:memn0ck
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・LINEからのデータを搾取するモバイルマルウェアを日本で発見 - Lookout