著者

金井 文宏 庄田 祐樹 橋田 啓佑 吉岡 克成 松本 勉

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.56, no.12, pp.2275-2288, 2015-12-15

---

スマートフォン向けOSとしてAndroidが広く用いられている一方で,それを狙ったマルウェアの数も増加している.Androidマルウェアの中には,リパッケージと呼ばれる手法を用いて,正規アプリの中に悪性コードを追加することで作成されたものが多く存在する.攻撃者がリパッケージマルウェアを大量に作成する際には,リパッケージ処理の自動化が必須であると考えられるが,自動リパッケージの実態や対策については,十分な調査・検討が行われていない.そこで我々は,既存の正規アプリが自動リパッケージに対して,どの程度の耐性を有するかを検証する.まず,実際のリパッケージマルウェアの解析を行うことで,リパッケージの方法を特定し,自動リパッケージを再現するスクリプトを作成する.次に,このスクリプトによって,複数の正規アプリに対して,外部と通信を行う機能だけを持つ検証用コードを挿入する.作成したリパッケージ済みアプリを動的解析して,挿入した検証用コードが正常に動作するかどうかを検証する.その結果,自動リパッケージの手法により成功率に差がみられるものの,評価対象としたアプリの7~9割において,挿入した検証用コードが正常に動作し,なおかつ起動時の動作が変化しないことを示す.さらに,ユーザによるインストール数が5,000万件を超える33種類のアプリにおいて,アプリの持つ基本的な機能がリパッケージ後にも保持されるかを確認し,87.9%にあたる29種類のアプリにおいて機能が保持されていることを示す.この実験において挿入した検証用コードを,悪性のコードに変更した場合でも,同様の方法で自動リパッケージが可能であることが予想される.以上より,現状のAndroidアプリの多くは自動リパッケージへの耐性が不十分であり,耐タンパ技術などを用いたリパッケージ対策が必要であることが分かる.