Android malware

正規のアプリケーションを装った 60,000 を超える Android アプリが、過去 6 か月間検出されずにモバイル デバイスにアドウェアを静かにインストールしています。

この発見はルーマニアのサイバーセキュリティ企業 Bitdefender によるもので、同社は先月同社の Bitdefender Mobile Security ソフトウェアに追加された異常検出機能を使用して悪意のあるアプリを検出しました。

ルーマニアのサイバーセキュリティ企業ビットディフェンダーは、「これまでにビットディフェンダーは、アドウェアを運ぶまったく異なるサンプル(固有のアプリ)を6万件発見しており、さらに多くのサンプルが世に出回っているのではないかと疑っている」と警告した。

このキャンペーンは2022年10月に始まったとされており、偽のセキュリティソフト、ゲームクラック、チート、VPNソフト、Netflix、ユーティリティアプリとしてサードパーティサイトで配布されている。

このマルウェア キャンペーンは主に米国のユーザーをターゲットにしており、次に韓国、ブラジル、ドイツ、英国、フランスが続きます。

Android マルウェア キャンペーンの地理的分布
Android マルウェア キャンペーンの地理的分布
出典: ビットディフェンダー

検出を回避するために密かに設置されています

悪意のあるアプリは Google Play ではホストされていませんが、モバイル アプリを手動でインストールできるようにする APK (Android パッケージ) をプッシュする Google 検索のサードパーティの Web サイトでホストされています。

サイトにアクセスすると、広告を表示する Web サイトにリダイレクトされるか、検索されたアプリをダウンロードするよう求められます。これらのダウンロード サイトは、悪意のある Android アプリを APK として配布するために意図的に作成されており、インストールすると Android デバイスがアドウェアに感染します。

アプリのインストール時には、追加の権限が必要となるため、自動的に実行されるように構成されません。代わりに、通常の Android アプリのインストール フローに依存しており、インストール後にユーザーにアプリを「開く」ように求められます。

さらに、アプリはアイコンを使用しておらず、アプリのラベルに UTF-8 文字が含まれているため、見つけるのが難しくなります。これは諸刃の剣であり、ユーザーがアプリをインストールした後に起動しなければ、その後もアプリが起動されなくなる可能性が高いことを意味します。

アプリを起動すると、「お住まいの地域ではアプリケーションを利用できません。アンインストールするには [OK] をタップしてください。」というエラー メッセージが表示されます。

ただし、実際には、アプリはアンインストールされず、デバイスの起動時またはデバイスのロック解除時にアプリを起動させる 2 つの「 インテント」を登録する前に 2 時間スリープするだけです。 Bitdefender によると、後者のインテントは最初の 2 日間無効になっており、ユーザーによる検出を回避する可能性が高いとのことです。

悪意のあるアプリを起動する Android インテントの登録
悪意のあるアプリを起動する Android インテントの登録
出典: ビットディフェンダー

アプリが起動されると、攻撃者のサーバーにアクセスし、モバイル ブラウザまたは全画面 WebView 広告として表示される広告 URL を取得します。

現時点では、悪意のあるアプリは広告を表示するためにのみ使用されていますが、攻撃者はアドウェアの URL をより悪意のある Web サイトに簡単に置き換える可能性があると研究者らは警告しています。

「分析の結果、このキャンペーンは収益を促進する目的で、Android デバイスにアドウェアを積極的にプッシュするように設計されています」とBitdefender は警告しています

「しかし、関与する攻撃者は、認証情報や金融情報を盗むバンキング型トロイの木馬やランサムウェアなど、ユーザーを他の種類のマルウェアにリダイレクトする戦術に簡単に切り替えることができます。」

Android デバイスは、マルウェアの検査が不十分な Google Play ストアの外部にアプリケーションをインストールできるため、マルウェア開発者の標的にされています。

しかし、攻撃者は Google Play であっても検出を回避し続けており、悪意のあるアプリの広範囲な配布を許可しています。

つい先週、Dr. Web と CloudSEK の研究者は、Google Play のアプリから Android デバイスに4 億回以上インストールされた悪意のあるスパイウェア SDK を発見しました。

Google Play には依然として悪意のあるアプリが多数存在しますが、Android アプリを公式の Android ストアからインストールする方がはるかに安全です。また、サードパーティのサイトはマルウェアの一般的な媒介となるため、Android アプリをサードパーティのサイトからインストールしないことを強くお勧めします。