「FakeCop」と呼ばれるAndroidの情報窃盗ソフトの新しい亜種が日本のセキュリティ研究者によって発見され、悪意のあるAPKの配布が行われていると発表しました
日本のセキュリティ研究者であるYusuke Osumiによって初めて発見されたこのマルウェアは、KDDIを装ったフィッシング攻撃で配布されています。
さらに、VirusTotalに登録されている62のAVエンジンのうち、22のAVエンジンでしか検出されておらず、攻撃者が隠れて活動していることを示しています。
一般的なセキュリティツールを装う
サイバーセキュリティ企業のCyble社は、このマルウェアを「FakeCop」と命名し、日本で人気の高いアンチウイルス製品である「あんしんセキュリティ」を装っていると報告しています。
研究者は、このマルウェアを分析した結果、この新しいスパイウェアは以下のような機能を持っていると述べています。
- SMS、連絡先、アカウント情報、アプリ一覧の収集
- デバイスのデータベース内のSMSを修正または削除
- デバイスのハードウェア情報(IMEI)の収集
- ユーザーの知らない間にSMSを送信
このスパイウェアは、以下に示すように、この機能を実行するためにユーザーに多数の機密性の高い許可を与えるよう要求します。
- FakeCopが要求する権限
- FakeCopによって要求されたパーミッション
セキュリティソフトは、検出された脅威をスキャンして除去するために高い権限を必要とするのが一般的なので、ユーザーがAVソフトからこのような要求を受けた場合、許可してしまう可能性が高くなります。
検出を回避するための試み
また、マルウェアの作者はカスタムパッカーを使用して、アプリの実際の動作を隠しながら、静的な検出を妨害しています。
悪意のあるコードはBitwise XOR暗号化され、assetsフォルダ内のファイル内に保存されており、特定のアプリのサブクラスによって呼び出された場合にのみ解凍されます。
さらにFakeCopは端末のアプリ一覧を積極的にスキャンし、ウイルス対策アプリが見つかった場合はユーザーにアンインストールを促す通知をプッシュします。
マルウェアがユーザーに削除を促すハードコードされたAVソリューションには、「あんしんセキュリティ」、「マカフィーセキュリティ」、「ドコモあんしんスキャン」などがあります。
FakeCopがどのように被害者に届くかについては、Cyble社のOSINT調査により悪意のあるリンクを貼ったSMSによるものと、フィッシングメールに頼るものの2つの配布経路が明らかになりました。
配信メカニズムとして使用されている「duckdns.org」という無料のダイナミックDNSは、以前にも「Medusa」や「Flubot」の配信に使用されたことがあるため、今回のキャンペーンが同じ運営者と結びついている可能性があります。
原則として、SMSやメールで送られてきたURLのリンクをクリックすることは避け、さらにGoogle Playストア以外からAPKファイルをインストールすることは避けてください。
また、定期的に「Google Play プロテクト」が有効になっているかどうかを確認し、新しいアプリをインストールする際には、許可の有無を必ず確認してください。
コメント