Androidスマートフォンをスパイツールに変えるキャンペーンに関する警告

ハッカーは、WhatsApp、TikTok、Google フォト、YouTube などの最も人気のあるアプリの偽バージョンを作成し、ユーザーを騙してインストールさせるという、よくあるが非常に効果的な手口を使います。

このキャンペーンでは、Telegram チャンネルとフィッシング Web サイトを組み合わせてマルウェアを拡散します。

サイバーセキュリティ企業 Zimperium のレポートによると、ClayRat の攻撃チェーンは非常に綿密に組織化されていたという。

まず、ユーザーは、YouTube Plus などのプレミアム機能を備えたアプリの「Plus」バージョンを提供すると約束する偽の Web サイトに誘導されます。

これらのサイトから、被害者は攻撃者が管理する Telegram チャンネルに誘導され、そこで攻撃者はダウンロード数を人為的に水増ししたり、偽の推薦文を押し付けたりといった手口を使ってアプリが信頼できるように見せかけます。

その後、被害者は騙されて、ClayRat マルウェアを含む APK ファイルをダウンロードし、インストールしてしまいます。

「侵入に成功すると、このスパイウェアはSMSメッセージ、通話記録、通知、デバイス情報を盗み、フロントカメラで密かに写真を撮り、さらには被害者自身のデバイスから自動的にメッセージを送信したり、電話をかけたりすることもできる」と、Zimperium社のサイバーセキュリティ専門家、ビシュヌ・プラタパギリ氏は述べた。

ClayRatの最も恐ろしい点は、データの窃盗だけではありません。自己複製するように設計されたこのマルウェアは、被害者の連絡先リストに登録されている全員に悪意のあるリンクを自動的に送信し、感染した携帯電話をウイルス拡散ノードに変え、攻撃者が手動操作なしで攻撃を拡大できるようにします。

過去 90 日間で、Zimperium は 600 以上のマルウェア サンプルと 50 の「おとり」アプリを検出しており、攻撃者がセキュリティ ソフトウェアを回避するために新たな偽装の層を追加して、常に進化していることがわかります。

障壁を乗り越える

セキュリティ対策が強化されたAndroid 13以降を搭載したデバイスでは、ClayRatはより巧妙な手口を使います。偽アプリは最初は単なる軽量インストーラーのように見えます。

起動すると、偽の Play ストア更新画面が表示され、内部に隠された暗号化されたマルウェアが静かにダウンロードされ、インストールされます。

ClayRat がインストールされると、メッセージと通話履歴に完全にアクセスして制御できるように、デフォルトの SMS アプリになる許可をユーザーに求めます。

ClayRat の出現は、Android エコシステム全体のセキュリティにおけるより憂慮すべき傾向の一部です。

最近、ルクセンブルク大学の調査によると、アフリカで販売されている安価なAndroidスマートフォンの多くには、高い権限で動作し、ユーザーの識別情報や位置情報を第三者に密かに送信するアプリケーションがプリインストールされていることも明らかになった。

Googleは、Google Play Servicesを搭載したデバイスではデフォルトで有効になっている機能「Google Play Protect」を通じて、Androidユーザーはこのマルウェアの既知のバージョンから自動的に保護されると述べた。

しかし、新たな亜種や非公式のインストールソースからの脅威は、すべてのユーザーに対する警告として残ります。

出典: https://dantri.com.vn/cong-nghe/canh-bao-chien-dich-bien-dien-thoai-android-thanh-cong-cu-gian-diep-20251013135854141.htm