90+ Androidアプリにバンキングマルウェアが発見され、550万回以上インストール

Zscaler ThreatLabzのセキュリティ研究者は、過去数ヶ月間にGoogle Playストアから550万回以上ダウンロードされた90以上のAndroid悪意のあるアプリを特定し、分析しました。

これらの悪意のあるアプリは、最近活動が急増しているAnatsaバンキングトロイの木馬を含むマルウェアやアドウェアを配信します。

クラウドセキュリティ会社によると、Anatsa（別名「Teabot」）は、Google Playストアで「PDF Reader & File Manager」というPDFリーダーアプリと「QR Reader & File Manager」というQRコードリーダーアプリの2つの偽アプリを通じて配布されている既知のAndroidバンキングマルウェアです。Zscalerの分析時点で、これら2つのアプリはすでに70,000回のインストールを記録していました。

Anatsaバンキングマルウェアは、初期アプリケーションがインストール時にユーザーに対してクリーンに見えるドロッパー技術を使用します。

それは、さらなる悪意のある活動を実行するために、コマンド＆コントロール（C2）サーバーから取得したリモートペイロードを利用します。

インストールされると、さまざまなあいまいな戦術を使用して、世界の金融アプリケーションから敏感なバンキング認証情報や財務情報を抽出します。

「これは、オーバーレイとアクセシビリティ技術を使用することで実現され、データを控えめに傍受し収集することができます」と、Zscalerのヒマンシュ・シャルマとガジャナナ・コンドはブログ投稿で書いています。

これを実現するために、Anatsaマルウェアは、最終的にAndroidランタイムによって実行されるコードを含むロードされたDalvik Executable（DEX）ファイルからコードを呼び出すためにリフレクションを利用します。

次のステージのペイロードがダウンロードされると、Anatsaはデバイス環境とデバイスタイプの一連のチェックを実行し、分析環境やマルウェアサンドボックスを見つけます。

成功裏に検証されると、リモートサーバーから第3ステージおよび最終ペイロードをダウンロードします。

Anatsaマルウェアは、APKに未圧縮の生マニフェストデータを注入し、分析を妨げるためにマニフェストファイル内の圧縮パラメータを破損させます。

APKがロードされると、マルウェアはSMSやアクセシビリティオプションを含むさまざまな権限を要求し、最終DEXペイロードをアセットファイル内に隠します。

さらに、ペイロードは、コード内に埋め込まれた静的キーを使用して、ランタイム中にDEXファイルを復号化します。

マルウェアがデバイスに感染すると、C2サーバーとの通信を開始し、被害者のデバイスにバンキングアプリがインストールされているかどうかをスキャンします。

ターゲットアプリが見つかると、マルウェアはこの情報をC2サーバーに通信します。

それに応じて、C2サーバーはバンキングアプリの偽のログインページを提供します。

被害者が偽のログインページに騙されてバンキング認証情報を入力すると、その情報はC2サーバーに送信され、ハッカーがバンキングアプリにログインしてお金を盗むために使用できます。

Anatsaの背後にいる脅威アクターは、主にヨーロッパの650以上の金融機関からアプリケーションをターゲットにしてデータを抽出しました。しかし、Zscalerは、このマルウェアが米国と英国のバンキングアプリも「積極的にターゲットにしている」と報告しており、脅威アクターはドイツ、スペイン、フィンランド、韓国、シンガポールのバンキングアプリを含むターゲットを拡大しています。

「Anatsaバンキングトロイの木馬を展開する脅威アクターによって実施された最近のキャンペーンは、Google Playストアからこれらの悪意のあるアプリケーションをダウンロードしたAndroidユーザーが直面するリスクを強調しています」と、研究者たちは結論づけました。

Zscalerは、マルウェアに感染した90以上のアプリの特定を公開しませんでしたが、2つのAnatsaドロッパーアプリはGoogle Playストアから削除されました。

一方、ドロッパーアプリをダウンロードした場合は、すぐにAndroidデバイスから削除することをお勧めします。