一見普通のAndroidアプリだけど……? 更新すると情報を盗み出すマルウェアに変わる手口に気を付けて【偽装アプリに注意!】

INTERNET Watch

 オランダのセキュリティ企業であるThreatFabricは、Androidを狙ったマルウェアが拡散されているとして発表しました。Android公式ストア「Google Play」で公開されていたアプリがバンキング型トロイの木馬だったのです。ユーザーのAndroidスマートフォンに感染すると、オンラインバンキングの認証情報などを盗み出します。

Google Playで入手したアプリから感染する事例が確認されました

 これらのアプリはQRコードスキャナーやスキャン&PDF作成アプリ、暗号通貨アプリとしてリリースされました。

 Google Playではマルウェアをはじく仕組みがあり、悪意のあるプログラムをAIで検知するのですが、今回のバンキング型トロイの木馬は最小限のコードしか書かれておらず、見逃されてしまったのです。

 そのままではマルウェアとして動作できない最小限のコードがなぜAndroidスマートフォンから情報を盗み出せたのでしょうか。

 それは、ユーザーが自分でマルウェアの本体をインストールすることによって起こります。アプリの初回起動時に「アプリを利用するためには更新が必要」だと誘導されます。野良サイトなどからダウンロードさせるので、提供元不明のアプリをインストールする設定が必要になります。しかし、Google Playには多数の高評価レビューが書かれており、インストール数も多かったのです。アプリを更新すると、実際にその機能を利用できたので、信用してしまった人が続出しました。

 このマルウェアが賢いのは、インストールしてしまった全員の端末で悪さをするわけではないということです。デバイス名や利用している国、Android SDKのバージョンなどを犯人に送信し、必要に応じてマルウェアをダウンロードさせるかどうかを決めるのです。

 つまり、データが奪えそうな端末には感染し、セキュリティチームなどがテスト環境にインストールしているような状況ではおとなしくさせておくことができます。そのため、セキュリティアプリに検知される確率を抑えることができました。

ターゲットにだけマルウェア本体を追加インストールさせます

 マルウェアの追加インストールをして、アクセス権限を渡してしまっても、アプリは正常に動作するので被害者は疑わないまま使い続けてしまいます。

 この手口で発見されたマルウェアは4種類です。2021年8月頃から「Anatsa」が登場し、9月から「Alien」、10月から「Hydra」「Ermac」も広まりました。これら全て合わせると、マルウェアアプリは30万回以上ダウンロードされています。

|今回公表されたマルウェアアプリの例

  • QR Scanner
  • QR Scanner 2021
  • PDF Document Scanner
  • PDF Document Scanner Free
  • PDF Document Scanner – Scan to PDF
  • CryptoTracker
  • Gym and Fitness Trainer
  • Master Scanner Live
  • Gym and Fitness Trainer
  • PDF AI : TEXT RECOGNIZER
  • QR CreatorScanner

 これらのマルウェアの攻撃対象リストも公表されたのですが、ほとんどはアメリカやイギリス、フランスなど海外のネットバンクや仮想通貨取引所のアプリです。しかし、その中には日本の楽天銀行や住信SBIネット銀行、仮想通貨取引所Liquidなども載っていました。こうした金融系アプリから認証情報を盗む恐れがあるため注意が必要です。

 攻撃対象となったアプリはThreatFabricのブログの「Appendix: Targeted apps」に掲載されています。もし、これらの偽装アプリをインストールしてしまっても、アンインストールし、該当するサービスのパスワードを変更してください。その上で、サービス元に問い合わせをして被害に遭っていないかどうか確認するとよいでしょう。

攻撃対象アプリには日本の金融機関も含まれていました

 この巧妙なサイバー攻撃を防ぐのは困難です。インストールするアプリの数を減らす、という自衛策を勧められることもありますが、それではスマートフォンの利便性を損なってしまうので、本末転倒です。

 怪しいアプリは見つかってしまえば即排除されてしまいます。そこで、何年も前から広く使われているアプリを利用する、というのはいかがでしょうか。古くから多くのユーザーが利用し、バージョンアップを続けているアプリならマルウェアの可能性はほとんどありません。

 また、Androidの設定で提供元不明のアプリをインストールできるようにしない、というのも徹底しましょう。今回の件も野良アプリをインストールしなければマルウェアとしては動作しませんでした。

 銀行や暗号通貨取引所のアカウントに不正アクセスされると大きな被害を受ける可能性があります。本連載で個別の事例を学び、未知のネット詐欺に遭遇した場合でも被害に遭わないよう、デジタルリテラシーを向上させ、自衛しましょう。

あなたの両親も“ネット詐欺”の餌食になっているかもしれません――その最新の手口を広く知ってもらうことで高齢者のデジタルリテラシー向上を図り、ネット詐欺被害の撲滅を目指しましょう。この連載では、「DLIS(デジタルリテラシー向上機構)」に寄せられた情報をもとに、ネット詐欺の被害事例を紹介。対処方法なども解説していきます。

「被害事例に学ぶ、高齢者のためのデジタルリテラシー」の注目記事

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「support@dlis.info」までご連絡いただければ、最新情報をお送りするようにします。

※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考:ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと

Source