Android malware

無害なファイル マネージャーを装った悪意のある Android アプリの新しいコレクションが公式の Google Play アプリ ストアに侵入し、ユーザーをバンキング型トロイの木馬 Sharkbot に感染させました。

アプリは、Google Play に送信されたときに検出を回避するためにインストール時に悪意のあるペイロードを運ぶのではなく、後でリモート リソースから取得します。

トロイの木馬アプリはファイル マネージャーであるため、Sharkbot マルウェアをロードするための危険なアクセス許可を要求する際に疑惑が生じる可能性は低くなります。

Android に感染する偽のファイル マネージャ

Sharkbot は、銀行アプリで正規のログイン プロンプトの上に偽のログイン フォームを表示することで、オンラインの銀行口座を盗もうとする危険なマルウェアです。ユーザーがこれらの偽のフォームのいずれかを使用して銀行にログインしようとすると、資格情報が盗まれ、攻撃者に送信されます。

このマルウェアは常に進化しており、 さまざまな形Play ストアに表示されたり、トロイの木馬アプリからロードされたりしています。

Bitdefenderによる新しいレポートで、アナリストはファイル マネージャーを装った新しい Android トロイの木馬アプリを発見し、Google に報告しました。その後、それらはすべて Google Play ストアから削除されました。

ただし、以前にそれらをダウンロードした多くのユーザーは、まだ携帯電話にインストールされているか、未発見のレムナント マルウェア感染に悩まされている可能性があります。

最初の悪意のあるアプリは、Victor Soft Ice LLC (com.victorsoftice.llc) による「X-File Manager」で、Google が最終的に削除する前に、Google Play から 10,000 回ダウンロードされました。

Google Play の X ファイル マネージャー
Google Play の X-File Manager (Bitdefender)

このアプリはアンチエミュレーション チェックを実行して検出を回避し、英国またはイタリアの SIM にのみ Sharkbot をロードするため、標的を絞ったキャンペーンの一部です。

マルウェアの標的となったモバイル バンク アプリのリストを以下に示しますが、Bitdefender が指摘しているように、攻撃者はいつでもこのリストをリモートで更新できます。

この Sharkbot キャンペーンの標的となった銀行
この Sharkbot キャンペーンの標的となった銀行(Bitdefender)

Bitdefender のテレメトリ データは、このキャンペーンのターゲットが狭いことを反映しています。特定の Sharkbot 配布波のほとんどの被害者は英国にあり、イタリア、イラン、ドイツがそれに続きます。

悪意のあるアプリは、外部ストレージの読み取りと書き込み、新しいパッケージのインストール、アカウントの詳細へのアクセス、パッケージの削除 (トレースをワイプするため) などの危険なアクセス許可をユーザーに付与するように要求します。

ただし、これらのアクセス許可は、ファイル管理アプリのコンテキストでは正常であり、期待されているように見えるため、ユーザーが要求を慎重に処理する可能性は低くなります。

Sharkbot は偽のプログラム アップデートとして取得され、X-File Manager はインストール前にユーザーに承認を求めます。

バンキング型トロイの木馬をインストールする 2 番目の悪意のあるアプリは、Julia Soft Io LLC (com.potsepko9.FileManagerApp) による「FileVoyager」で、Google Play から 5,000 回ダウンロードされています。

Google Play のファイルボイジャー
Google Play の FileVoyager (Bitdefender)

FileVoyager は、X-File Manager と同じ運用パターンを特徴としており、イタリアと英国の同じ金融機関を標的にしています。

Bitdefender によって発見された別の Sharkbot 読み込みアプリは「LiteCleaner M」(com.ltdevelopergroups.litecleaner.m) で、発見されて Play ストアから削除されるまでに 1,000 回のダウンロードが蓄積されました。

現在、このアプリは APKSOS などのサードパーティのアプリ ストアからのみ入手できます。同じサードパーティのアプリ ストアが、「Phone AID, Cleaner, Booster 2.6」(om.sidalistudio.developer.app) という名前の 4 番目の Sharkbot ローダーをホストしています。

これらのアプリがインストールされている場合、Android ユーザーはすぐにそれらを削除し、使用するオンライン銀行口座のパスワードを変更する必要があります。

脅威アクターはこれらのアプリを Google Play から直接配布したため、悪意のあるアプリが検出されたときに削除されるように、Play プロテクト サービスを有効にしておくことが最善の防御策です。

さらに、Android モバイル セキュリティ ウイルス対策アプリケーションは、Google Play に報告される前であっても、悪意のあるトラフィックやアプリを検出するのに役立ちます。