新しいAndroidマルウェアがGoogle Playから300万回以上インストールされる

セキュリティ研究者は、Google Playストアで新しいAndroidマルウェアファミリーを発見し、それがプレミアムサービスにサブスクライブするユーザーを秘密裏に登録していると、Bleeping Computerの報告によると述べています。

新しいAndroidマルウェアは「Autolycos」と名付けられ、サイバーセキュリティ会社Evinaのセキュリティ研究者マキシム・イングラオによって発見されました。このマルウェアは2021年6月にイングラオによって最初に特定され、Playストアの8つのアプリに感染し、300万回以上ダウンロードされています。

これらの悪意のあるアプリは、カメラやキーボードの追加機能を提供することでユーザーをダウンロードさせました。

イングラオは、これらの悪意のあるアプリがインストール後にユーザーにSMSテキストの読み取りの承認を求めることを指摘しました。ユーザーが許可を与えると、データが盗まれました。

時には、所有者の知らないうちに感染したアプリのプレミアムパッケージにサブスクライブすることさえありました。所有者は、クレジットカードまたはデビットカードから金額が引き落とされたという請求書と通知を受け取るまで気づきませんでした。

イングラオは2021年6月にAutolycosマルウェアについてGoogleに報告しましたが、検索大手がPlayストアから感染した6つのアプリを削除するのに約半年かかりました。さらに、残りの2つの感染したアプリは、BloombergがAutolycosマルウェアに関する記事を発表した後にのみ削除されました。

以下は、 Autolycosマルウェアに感染したアプリの完全なリスト とその詳細です：

2. Vlog Star Video Editor:- 100万ダウンロード

3. Creative 3D Launcher:- 100万ダウンロード

4. Wow Beauty Camera:- 10万ダウンロード

5. Gif Emoji Keyboard:- 10万ダウンロード

6. Freeglow Camera 1.0.0:- 5000ダウンロード

7. Coco camera V1.1:- 1000ダウンロード

8. Funny Camera by KellyTech:- 5万以上のダウンロード

9. Razer Keyboard & Theme by rxcheldiolola:- 5万以上のダウンロード

Autolycosマルウェアはどのように機能しましたか？

「Autolycosは、現在よく知られているJokerマルウェアよりもはるかに目立たないです。AutolycosはJokerのように目に見えないブラウザを起動しません。このマルウェアは、ブラウザを使用せずにhttpリクエストを実行することで詐欺を試みます」とイングラオはマルウェアの動作を説明する報告書に書いています。

「いくつかのステップでは、リモートブラウザでURLを実行し、これらの結果をhttpリクエストに埋め込むことができます。この操作は、GoogleがAutolycosに感染したアプリを正当なものと区別するのを難しくすることを目的としています。これが、Autolycosが長い間特定されず、300万回以上ダウンロードされた理由です。」

サイバー犯罪者は、いくつかのFacebookページでアプリを宣伝し、FacebookやInstagramで広告を出して多くの新しいユーザーにリーチしました。

広告キャンペーンを通じて宣伝されたアプリはユーザーに対してより目立つようになり、その結果、多くのユーザーが短期間でアプリをダウンロードし、Playストアで高いランキングを得ることになりました。

例えば、イングラオによると、Autolycosを含むRazer Keyboard & Themeアプリを宣伝するために74の異なる広告キャンペーンがFacebookで行われました。また、一部はPlayストアでのポジティブなレビューを生成するためにボットを使用しました。このアプリはナイジェリアのPlayストアの新しいアプリのトップ5にランクインし、パーソナライズアプリカテゴリで2位にランクインしました。

安全を保つために、Androidスマートフォンに上記の感染したアプリがないか確認し、もしあればすぐに削除してください。バックグラウンドのインターネットデータ、アプリによって消費されるバッテリーを監視し、Play Protectをアクティブに保ち、スマートフォンにできるだけ少ないアプリをダウンロードしてください。