Ghost Push とはマルウェアの型の 1 つで、脆弱性に付け込んで Android デバイスのルート アクセス権限を取得し、バックグラウンドで他のアプリをダウンロードしてレビューします。ソーシャル エンジニアリングを利用することにより、ユーザーは騙されてサードパーティのアプリ ストアから、あるいはテキスト メッセージで送信されたリンクを経由して Ghost Push をダウンロードします。インストールが完了すると、Ghost Push はルート アクセス権限を取得しようと試みます。名前から想像できるとおり、Ghost Push はルート アクセス権限を取得した後、お化けのように振る舞います。つまり、感染したユーザーは何も気付くことなく、すべてがバックグラウンドで行われます。先日、Ghost Push マルウェアの新しい変異型、Gooligan が世間に広く拡散していることが検出されました。Gooligan 変異型は感染したデバイスに保存されているメール アドレスと認証トークンを盗み、Gmail や Google Play を含むユーザーの Google アカウント データへのアクセス権限を取得します。100 万人を超えるユーザーのGoogle Play アカウントが影響を受けました。

Ghost Push は本当に深刻な脅威となるものでしょうか? 弊社の調査に基づくと、Ghost Push の初期の形態は 2014 年に発見された、Xinyinhe と呼ばれるアドウェアの変異型までたどることができます。Xinyinhe は深圳にある中国の会社により制作されたもので、同社は当時、モバイル ゲームの販売促進に注力していました。ユーザーに気付かれずにアプリをインストールするために、Xinyinhe はユーザーの Android デバイスに侵入してルート アクセス権限を取得します。

(Xinyinhe のサーバー アドレス)

(Ghost Push が GingerBreak で侵入を行っているスナップショット)

モバイル アプリ企業は、Google Play で利用可能なすべてのアプリの中で、自社のアプリに多数のダウンロード件数を達成させ、肯定的なレビューを獲得させなければならないという圧力を受けています。これが要因となり、アンダーグラウンドの販売促進プラットフォームが次々と生まれました。下の写真は、中国でアプリの販売促進会社が Android デバイス クラスターを用いてアプリのアクティベーションを手動で行っているところで、とても有名な写真です。

Gooligan はGhost Push の変異型のニックネームですが、Xinyinhe より複雑です。Gooligan は、デバイスに侵入してルート アクセス権限を取得した後で、ユーザーに気付かれずに Google Play からアプリをダウンロードして評価するためにユーザーの Google Play アカウントを乗っ取ります。中国で使用されているほとんどの Android デバイスは Google Play フレームワークをサポートしていないため、中国のユーザーは国内の Android アプリ ストアからアプリをダウンロードします。このことから、東南アジアのユーザーが Gooligan の主な被害者となりました。いくつかの東南アジアの国々では安価な Android スマートフォンの人気が非常に高く、しかもこれらの国々では Google Play がサポートされています。ところが残念なことに、安価な Android デバイスは通常の場合、Android オペレーティング システムの古いバージョンがインストールされて出荷され、アップグレード機能は搭載されていません。この結果、東南アジア諸国で最も広く使用されている Android バージョンは Android バージョン 4.2 から 4.4 までです。これらのバージョンにはセキュリティ問題と脆弱性があるため、Gooligan に感染すると、Gooligan はルート アクセス権限を簡単に取得できます。

過去 2 年間に、DirtyCow、iovroot、Pingpong root などの有名なルート エクスプロイト プログラムが公開されました。これにより、Gooligan がより多くのルート権限を実装して新しいデバイスをルート化することがはるかに容易になりました。このため、東南アジアのユーザーに加えて、欧州と南北アメリカのユーザーも、Android オペレーティング システムの古いバージョンを使用している場合は被害を受けるようになりました。

Ghost Push から自分自身を保護する方法

• お使いのスマートフォンにアンチウイルスをインストールしましょう。弊社では、Xinyinhe と Gooligan を含む、Ghost Push を検出してユーザーを保護するアバスト モバイル セキュリティをお勧めします。アバスト モバイル セキュリティを Google Play ストアからインストール
• モバイル機器の Android オペレーティング システムが必ず最新のものとなるように、格安なスマートフォンや中古のスマートフォンの購入は避けて、よく知られた信頼の置けるブランドの新しいデバイスを購入してください。
• ダウンロードは Google Play のみから行い、リンクが安全なものであることを確認するために、SMS 経由でリンクが送られてくることを確認します。

説明されている Xinyinhe 検体のハッシュ: e6dbf2d24c1450b2ea72604c5705bdf72dd02c92eb2873c52a0a80f97eda745a