Windowsプラットフォーム向けに開発されたマルウェア・ツールキットは、ここ数年で急速に進化しており、マルウェア作成者は常に新しい機能を追加し、より強固な自動化を提供しています。企業のセキュリティ・チームは、このような高度なツールキットに悩まされていますが、少なくともWindowsが企業にとって重要なデジタル資産への主要な入り口であることを理解しており、この大通りのセキュリティ確保に懸命に取り組んでいます。企業向けエンドポイント・モバイルデバイスの大流行にもかかわらず、Windowsは依然として王国の玄関口であり、マルウェアの作成者は、このプラットフォームを標的とすることに多大な意欲を注いできました。
この記事では、なぜObad.aが懸念されるのか?Obad.aの共通点とWindowsベースのマルウェアとの違いとは?Android端末を標的とするこの高度な新種のマルウェアの被害を軽減するために、組織は何ができるのでしょうか?
オバド.aを解剖
Kaspersky Labの研究者たちは、Obad.aに関する具体的な情報を明らかにした最初のチームでした。彼らはObad.aをWindowsベースのマルウェアと比較しましたが、少なくともこれまでのところ、Obad.aはモバイルプラットフォーム上に出現するどのマルウェアよりも洗練されているというのが一般的な見解です。Obad.aは、優先的にテキストメッセージを送信したり、他のマルウェアをダウンロードしたり、感染したデバイス上でコマンドを実行したり、Bluetoothで接続して他のデバイスを攻撃したりすることができます。に接続し、他のデバイスを攻撃することができます。Kaspersky Labのアップデートでは、Obad.aがどのように悪意のあるSMSメッセージを拡散するのかについて概説しています。
すべてのマルウェア作成者は、既存のマルウェアやエクスプロイトからヒントを得て、自分が実装しようとしていた機能に基づいて、マルウェアに特定の特性を追加することを慎重に考えます。したがって、モバイルデバイスのマルウェア作成者が、成功したWindowsマルウェアを精査して新しい機能を見つけることは驚くべきことではありません。現在、さまざまなマルウェア作成者が、専門的なソフトウェア開発実践ツールを使用し始めており、新機能を開発するためのプログラムはモジュール化されています。従来の多くのソフトウェア開発プロジェクトでは、プログラミング環境が一部のプログラマの経験からプラットフォームやオペレーティングシステムの複雑さを抽象化し、新しいプラットフォームやオペレーティングシステムの開発に役立ててきました。
Obad.aの作者は、ファイル内の文字列を暗号化することでコードを難読化し、Javaコードへの変換を困難にしているため、Obad.aマルウェアのバイナリを分析することが難しくなっています。Obad.aの作者は、ファイル内の文字列を暗号化することでコードを難読化し、Javaコードへの変換を困難にしています。
Obad.aはまた、分析をさらに妨げるために2つのゼロデイ脆弱性を悪用しており、リストに掲載されていないマルウェアに関連するファイルを保持し、デバイス管理者アクセス権を持つアプリのリストから自身を隠します。Obad.aは、感染したデバイスがネットワークにアクセスできるかどうかを確認し、アクセスできる場合は、Facebookのホームページをダウンロードし、それをC&C(コマンド&コントロール)アドレスの復号キーとして使用します。Obad.aは、C&Cインフラストラクチャに接続するリモートシェルを持ち、新しい機能を追加するために自身を更新することができます。obad.aはC&Cインフラストラクチャに接続するリモートシェルを持っており、新しい機能を追加するために自身を更新することができます。obad.aはまた、テキストメッセージを監視し、様々なコマンドを実行することができます。
とはいえ、Obad.aは現時点ではまだ企業にとって比較的リスクの低いマルウェアであり、カスペルスキーが検出したAndroidマルウェアの感染事例は全体のわずか0.15%に過ぎません。通常のWindowsマルウェアとこの新しいAndroidマルウェアには多くの共通点がありますが、Obad.aには、近年Windowsシステム向けに開発された最先端の機能がまだ欠けています。これらの最先端の操作には、デバイスにインストールされたセキュリティ監視ツールを欺くために、保存されているパスワードを抽出したり、テキスト入力やパスワード、その他の機密データをさまざまな方法でキャプチャしたりする機能が含まれています。
高度なAndroidマルウェアへの対処法
Obad.aは、多種多様なAndroidデバイスで現在利用可能なマルウェアのごく一部に過ぎないかもしれませんが、モバイルデバイス向けにますます巧妙化するマルウェアの脅威的な性質について、組織が認識しておくことは重要です。残念なことに、断片化されたAndroidのエコシステムでは、広く悪用されているAndroidの脆弱性に対する防御策は限られているか、まったく提供されていません。このようなAndroidのエコシステムの断片化は、携帯電話事業者のパッチ適用への依存と相まって、Androidシステム上のマルウェアによって引き起こされた脆弱性を修正するパッチの適用を困難にしています。
そこで、マルウェア対策ソフトウェアやセキュリティ監視など、Android端末を保護するためのサードパーティ製ツールが役立ちます。企業や個人は、Androidデバイスやカスタムディスクへのサードパーティ製パッチの適用や、過去に修正された脆弱性を調査したいと思うかもしれません。しかし、サードパーティのパッチを適用すると、Windowsシステムにサードパーティのパッチを適用した場合に発生する同様の問題と同様に、安定性、サポート、さらには潜在的なシステムセキュリティなど、予期せぬ問題が発生する可能性があります。実際、パッチ適用の複雑さや、Android端末を管理するモバイル端末管理システムの欠如は、いずれもマルウェアObad.aがもたらすリスクよりも潜在的に大きなリスクです。
最終的には、組織は、Obad.aマルウェアからモバイルデバイスを保護するために、US-CERT(米国コンピュータセキュリティ緊急対応チーム)が概説する標準的な手順のいくつかを講じる必要があります。カスペルスキーの最初の調査によると、Obad.aが提供できる唯一の有用な機能は、感染したデバイスがBluetooth経由で他のデバイスを攻撃できるようにすることです。ユーザーのセキュリティ意識を高め、悪意のあるSMSリンクをクリックしないようにすれば、Obad.aの拡散を阻止することもできます。企業環境におけるObad.aの蔓延を食い止めるには、まだ長い道のりがあります。
