6万本以上のAndroidアプリがマルウェアに感染

CSO Onlineによると、Bitdefender のレポートでは、関与する脅威アクターは簡単に戦術を切り替えて、ログイン認証情報や金融情報を盗むバンキング型トロイの木馬やランサムウェアなど、他の種類のマルウェアにユーザーをリダイレクトできると指摘しています。

Bitdefenderはこれまでに、このアドウェアに感染したAndroidアプリを6万本以上発見しており、さらに多数存在するとみています。このマルウェアは少なくとも2022年10月から存在しており、米国、韓国、ブラジル、ドイツ、英国、フランスのユーザーを標的にしています。

脅威アクターは、公式ストアでは入手できないサードパーティ製アプリを利用してマルウェアを拡散します。ユーザーにサードパーティ製アプリをダウンロード・インストールさせるため、マルウェア運営者は、公式ストアでは入手できないような人気アプリに脅威を潜ませます。場合によっては、これらのアプリはGoogle Playストアで公開されているアプリをそのままコピーすることもあります。マルウェアに模倣されるアプリの種類には、クラックされたゲーム、機能がロック解除されたゲーム、無料VPN、偽のチュートリアル、広告なしのYouTube/TikTok、クラックされたユーティリティプログラム、PDFビューア、さらには偽のセキュリティプログラムなどがあります。

マルウェアに感染したアプリは、インストール後は通常のAndroidアプリと同様に動作し、ユーザーに「開く」をクリックするよう促します。しかし、マルウェアは自動実行するように設定されていません。自動実行には追加の権限が必要となるためです。インストールされると、「アプリが利用できません」というメッセージが表示され、ユーザーにマルウェアが存在しないと思わせますが、実際にはランチャーアイコンがなく、ラベルにUTF-8文字が使用されているため、検出とアンインストールが困難です。

アプリが起動すると、攻撃者のサーバーと通信し、モバイル ブラウザーまたは全画面 WebView 広告として表示される広告 URL を取得します。

これは、Androidアプリにマルウェアが仕込まれた最近の事例の一つに過ぎません。先月、サイバーセキュリティ企業Doctor Webによって、「SpinOK」と呼ばれるAndroidスパイウェアが発見されました。このマルウェアは、デバイスに保存されているファイルに関する情報を収集し、悪意のある人物に転送する機能があります。また、クリップボードの内容を置き換えてリモートサーバーにアップロードする機能も備えています。スパイウェアを仕込んだSpinOKを含むAndroidアプリは、4億2,100万回以上インストールされています。