6万以上のAndroidアプリがマルウェアに感染

CSO Onlineによると、Bitdefender のレポートでは、関与する脅威アクターが簡単に戦術を切り替えて、ログイン認証情報や金融情報を盗むバンキング型トロイの木馬やランサムウェアなどの他の種類のマルウェアにユーザーをリダイレクトできると指摘されています。

Bitdefenderはこれまでに、このアドウェアに感染したAndroidアプリを6万本以上発見しており、さらに多数存在するとみています。このマルウェアは少なくとも2022年10月から存在しており、米国、韓国、ブラジル、ドイツ、英国、フランスのユーザーを標的にしています。

脅威アクターは、公式ストアでは入手できないサードパーティ製アプリを利用してマルウェアを拡散します。ユーザーにサードパーティ製アプリをダウンロード・インストールさせるため、マルウェア運営者は、公式ストアでは入手できないような人気アプリの中に脅威を潜ませます。場合によっては、これらのアプリはGoogle Playストアで公開されているアプリをそのままコピーすることもあります。マルウェアに模倣されるアプリの種類には、クラックされたゲーム、機能がロック解除されたゲーム、無料VPN、偽のチュートリアル、広告なしのYouTube/TikTok、クラックされたユーティリティプログラム、PDFビューア、さらには偽のセキュリティプログラムなどがあります。

マルウェアに感染したアプリは、通常のAndroidアプリと同様にインストールされ、インストール後にユーザーに「開く」をクリックするよう促します。しかし、マルウェアは自動実行するように設定されていません。自動実行には追加の権限が必要となるためです。インストールされると、「アプリは利用できません」というメッセージを表示し、ユーザーにマルウェアが存在しないと思わせますが、実際にはランチャーにアイコンが表示されず、ラベルにUTF-8文字が使用されているため、検出とアンインストールが困難です。

アプリが起動すると、攻撃者のサーバーと通信し、モバイル ブラウザーまたは全画面 WebView 広告として表示される広告 URL を取得します。

これは、Androidアプリにマルウェアが仕込まれた最近の事例の一つに過ぎません。先月、サイバーセキュリティ企業Doctor Webによって、「SpinOK」と呼ばれるAndroidスパイウェアが発見されました。このマルウェアは、デバイスに保存されているファイルに関する情報を収集し、悪意のある人物に渡すことができます。また、クリップボードの内容を置き換えてリモートサーバーにアップロードすることもできます。スパイウェアを仕込んだSpinOKを含むAndroidアプリは、4億2,100万回以上インストールされています。