Android malware

マルウェアの開発者は、サイバー犯罪者が要求する悪意のある動作の種類に応じて、悪意のある Android アプリを Google Play に 2,000 ドルから 20,000 ドルで追加することを約束する盛んな市場を作り出しました。

これらのサービスの正確な価格は、ハッカー フォーラムやテレグラム チャネルでケースバイケースで交渉されるため、サイバー犯罪者は悪意のある Android アプリを独自のマルウェアや機能でカスタマイズできます。

Google Play は Android の公式アプリ ストアであり、モバイル デバイスにアプリをインストールするための信頼できる安全な方法として宣伝されており、何十億人ものユーザーを対象としています。

したがって、信頼できる Google Play ストアに悪意のある Android アプリを追加できると、資格情報やデータを盗んだり、金融詐欺を実行したり、不要な広告を配信したりするための幅広いターゲットが提供されます。

盛んな Android マルウェア市場

Kaspersky の新しいレポートで、研究者は、攻撃者が Android マルウェア アプリを Google Play に追加することを約束するサービスを提供する方法を説明しています。

これらのサービスは、Telegram、ダーク Web マーケットプレイス、ハッキング フォーラムを通じて提供され、攻撃者がサービスを宣伝できるようにします。

マルウェアの開発者は、ウイルス対策プログラム、仮想通貨の資産マネージャー、QR コード スキャナー、小規模なゲーム、出会い系アプリになりすます正規のアプリにマルウェアを隠すことを約束しています。

ダークウェブ上の Google Play ローダー広告
ダークウェブ上の Google Play ローダー広告(Kaspersky)

Kaspersky の報告によると、平均で約 7,000 ドルで販売されている Google Play ローダーとは別に、サイバー犯罪者はマルウェアの難読化などのサービスを 8 ~ 30 ドルで販売したり、「クリーンな」Google 開発者アカウントを 60 ドルで販売したりしています。

これらの悪意のある、しかし無害に見えるアプリは Google Play で公開されていますが、その後の更新によって悪意のあるコードを取得する機能が含まれています。または、ユーザーが外部ソースから別のアプリをインストールするための通知を受け取る場合があります。

これらのサービスは、アプリが少なくとも 1 週間は Google Play に残ることを保証しており、一部の開発者は少なくとも 5,000 回のインストールを約束しています。

Google Play ローダーを宣伝するサイバー犯罪者
Google Play ローダーを宣伝するサイバー犯罪者(Kaspersky)

インストール時に、マルウェア ローダー アプリはユーザーに、電話のカメラ、マイク、アクセシビリティ サービスへのアクセスなどの危険なアクセス許可を付与するよう要求し、要求が承認されるまでアプリの主要機能へのアクセスを禁止します。

次に、これらのアプリの作成者は、関心のある購入者にローダーへのアクセスを販売し、追加のペイロードを挿入するように設定します。

Kaspersky が見たいくつかのケースでは、売り手は、1,500 ドルから始めて「即時購入」価格を 7,000 ドルに設定して、ローダーをオークションにかけ、利益を最大化しています。

ローダーのソースコードを 2 万ドルで販売
ローダーのソースコードを 20,000 ドルで販売(Kaspersky)

これらのローダーを宣伝するために、売り手は、その機能、ユーザーフレンドリーなインターフェース、きめ細かいターゲティングフィルターなどを紹介するビデオを公開しています.

「サイバー犯罪者は、トロイの木馬化されたアプリに、デバッガーまたはサンドボックス環境を検出する機能を追加することもできます」 と Kaspersky は説明します

「疑わしい環境が検出された場合、ローダーはその動作を停止するか、セキュリティ調査員によって発見された可能性が高いことをサイバー犯罪者に通知する可能性があります。」

サイバー犯罪者は、Google Play ローダーを介したマルウェアのインストール数を増やすために、顧客のために Google 広告キャンペーンを実行することを提案する場合もあります。

ローダーに加えて、サイバー犯罪者はいわゆる「バインディング」サービスも提供しています。これには、Google のセキュリティ チェックを通過できる正規のアプリケーションに悪意のある APK 全体を隠すことが含まれます。

サイバーセキュリティ企業のThreatFabricも、2022年12月に「 Zombinder 」と呼ばれる同様のサービスについて報告し、Erbium Stealerを数千人の被害者に押し付けました。

これらのサービスのコストは、ローダーに比べて大幅に低く、ファイルあたり 50 ~ 100 ドルです。

これらのステルス攻撃を防御するために、Android ユーザーは、アプリのインストール時に要求された権限を慎重に確認し、Google Play でユーザーのコメントを確認し、インストールするアプリの数を最小限に抑える必要があります。

さらに重要なのは、サードパーティのサイトから Android APK をインストールしないことです。Android APK はマルウェアの一般的な配布方法であるためです。