30万台以上のAndroidデバイスが悪意のある銀行トロイの木馬に感染

30万人以上のGoogle Playストアユーザーが、モバイルセキュリティ会社ThreatFabricの新しい報告によると、Android銀行トロイの木馬に感染しています。

先月、ThreatFabricのセキュリティ研究者は、Google Playストアで銀行トロイの木馬を配布する4つの異なるマルウェアドロッパーキャンペーンを発見しました。これらは主に4つのマルウェアファミリー — Anatsa、Alien、Hydra、Ermacの一部で、2021年8月から11月の間に配布され、30万回以上ダウンロードされました。

これらの悪意のあるAndroidアプリは、QRスキャナー、QRスキャナー2021、PDFドキュメントスキャナー、PDFドキュメントスキャナー無料、二要素認証、保護ガード、QRクリエイタースキャナー、マスタースキャナーライブ、クリプトトラッカー、ジムとフィットネストレーナーとして偽装されていました。

異なるマルウェアファミリーの配布技術に関する研究の中で、ThreatFabricのアナリストは、特に銀行トロイの木馬Anatsaを配布するために設計された多数のドロッパーがGoogle Playに存在することを発見しました。

Anatsaは2021年1月にThreatFabricによって発見されました。これは、RATおよび半ATS機能を持つかなり高度なAndroid銀行トロイの木馬です。また、資格情報を盗むためのクラシックなオーバーレイ攻撃を実行したり、アクセシビリティログ（ユーザーの画面に表示されるすべてをキャプチャ）やキーロギングを行ったりすることもできます。

最初のドロッパーは2021年6月に文書スキャン用のアプリとして偽装されて発見されました。合計で、ThreatFabricのアナリストは2021年6月以降にGoogle Playに公開された6つのAnatsaドロッパーを特定することができました。

これらのアプリはQRコードスキャナー、PDFスキャナー、暗号通貨アプリとして偽装されていました。1つのドロッパーアプリは5万回以上インストールされ、すべてのドロッパーのインストール合計は10万回以上に達しました。

「背後にいるアクターは、アプリを合法的で役立つように見せることに注意を払っています。アプリには多くのポジティブなレビューがあります。インストール数とレビューの存在は、Androidユーザーにアプリをインストールさせるかもしれません。さらに、これらのアプリは実際に主張された機能を持っており、インストール後は正常に動作し、被害者にその合法性をさらに納得させます」と研究者は指摘しました。

さらに、Alien（95,000+）およびHydra/Ermac（15,000+）マルウェアファミリーからのドロッパーインストールもありました。Alienは二要素認証プロセスから重要な情報を盗むことができ、他の2つはユーザーの銀行情報を盗むためにデバイスへのアクセスを攻撃者に提供します。

ドロッパーアプリは非常に小さな悪意のあるフットプリントを持っており、これはGoogle Playによって強制された権限制限の（直接的な）結果です。

良い例は、2021年11月13日にGoogleによって導入された変更で、以前のドロッパーキャンペーンがユーザーの同意なしにアプリを自動化してインストールするために悪用していたアクセシビリティサービスの使用を制限しています。

「このGoogleによる監視は、アクターにドロッパーアプリのフットプリントを大幅に削減する方法を見つけさせました。改善されたマルウェアコードの取り組みに加えて、Google Playの配布キャンペーンは以前のキャンペーンよりも洗練されています」とThreatFabricの研究者は報告書で説明しました。

「例えば、Google Playで長期間にわたって慎重に計画された小さな悪意のあるコードの更新を導入し、ドロッパーアプリのテーマに完全に一致するドロッパーC2バックエンドを持つことです（例えば、ワークアウトに焦点を当てたアプリのための機能するフィットネスウェブサイト）。」

これらのドロッパーアプリの背後にいるアクターは、特定の地域をターゲットにするために感染したデバイスで銀行トロイの木馬のインストールを手動でのみアクティブにし、さらなる検出を回避するために後の日付に設定します。これにより、自動検出はどの組織にとっても採用が難しい戦略になります。

その結果、ほぼすべてのトロイの木馬は、ある時点でVirusTotalで0/62のFUDスコアを持っており、最小限のフットプリントを持つドロッパーアプリの検出の難しさを確認しています。

「わずか4か月の間に、4つの大規模なAndroidファミリーがGoogle Playを介して広がり、300,000以上の感染を引き起こしました。新しいドロッパーキャンペーンの顕著な傾向は、アクターがGoogle Playでの悪意のあるフットプリントを減少させたローダーに焦点を当てており、これにより自動化や機械学習技術による検出が大幅に困難になっていることです」と報告書は結論付けています。

「小さな悪意のあるフットプリントは、アプリの権限に関するプライバシーの使用を制限するための新しいGoogle Playの制限（現在および計画中）の結果です。」

悪意のあるアプリが発見された後、ThreatFabricはそれらをすべてGoogleに報告し、現在はGoogleの広報担当者がZDNetに確認したように、Playストアから削除されています。

「Android銀行マルウェアエコシステムは急速に進化しています。現在観察しているこれらの数字は、犯罪者がモバイル環境に焦点を移すゆっくりとしたが避けられないシフトの結果です。このことを考えると、Google Playストアはマルウェアを提供するために最も魅力的なプラットフォームです」とThreatFabricのモバイルマルウェアスペシャリストであるダリオ・デュランドはZDNetに語りました。

「良いルールは、常に更新を確認し、アクセシビリティサービスの権限を付与する前に非常に注意することです — これは悪意のあるペイロードによって要求され、’更新’インストール後に要求されます — そして、追加のソフトウェアのインストールを要求するアプリには注意してください」とデュランドはユーザーに感染を避けるためのアドバイスをしました。