このAndroidマルウェアは自動的に実行され、機密データを盗むことができます

マカフィーのサイバーセキュリティ研究者は、Androidマルウェアの更新版であるXLoaderが、インストール後にユーザーの操作なしに感染したAndroidスマートフォンで自動的に起動できることを発見しました。

XLoaderはMoqHaoとしても知られ、財政的に動機づけられた脅威アクター「Roaming Mantis」によって作成された可能性のあるマルウェアの亜種です。

このマルウェアは主に、Androidデバイスのテキストメッセージ内の短縮URLリンクを介して配布され、クリックするとモバイルアプリのAndroid APKインストールファイルをダウンロードするウェブサイトにリダイレクトされます。

これにより、マルウェアはバックグラウンドで静かに実行され、デバイスのメタデータ、写真、テキストメッセージ、連絡先リスト、特定の番号への通話（サイレントモードで）、および銀行情報などの個人情報やプライベート情報を抽出します。

「典型的なMoqHaoは、ユーザーがアプリをインストールして起動することを必要としますが、この新しいバリアントは実行を必要としません。アプリがインストールされると、その悪意のある活動が自動的に始まります」と、今週発表された報告書でAndroidのアプリ防御アライアンスのパートナーであるマカフィーは説明しています。

「この技術をすでにGoogleに報告しており、彼らは将来のAndroidバージョンでこの種の自動実行を防ぐための緩和策の実装に取り組んでいます。」

ユーザーを騙すために、マルウェアは正当なアプリのふりをし、しばしばGoogle Chromeウェブブラウザを装います。アプリ名にUnicode文字列を使用して難読化し、SMSコンテンツの送信やアクセスなど、デバイス上のリスクの高い権限を求めることができ、Androidのバッテリー最適化から除外することで常にバックグラウンドで実行されることができます。

さらに、偽のChromeアプリは、スパムを防ぐためにそれをデフォルトのSMSアプリとして設定するかどうかをユーザーに尋ねます。

加えて、マルウェアはフィッシングメッセージも使用しており、その内容は詐欺的なPinterestプロファイルのバイオ（または説明）フィールドから抽出され、感染したスマートフォンに送信されてウイルス対策ソフトウェアによる検出を回避します。

マルウェアがPinterestにアクセスできない場合、ハードコーディングされたフィッシングメッセージを使用して、潜在的な被害者に銀行口座に何か不審なことがあると通知し、即座に行動を取る必要があると警告します。

マカフィーの研究者は、いくつかの悪意のあるポップアップメッセージが英語、韓国語、フランス語、日本語、ドイツ語、ヒンディー語で権限を要求していることに注意しており、これもXLoaderの現在のターゲットを示しています。彼らは、日本に加えて、このマルウェアが韓国、フランス、ドイツ、インドのAndroidユーザーもターゲットにしていると考えています。

XLoaderマルウェアから保護されるために、ユーザーはアプリをサイドロードしたり、テキストメッセージ内の短縮URLを開いたりせず、インストールするアプリに権限を与える際には非常に注意することをお勧めします。また、Androidフォンにインストールするアプリの数を制限し、信頼できる開発者からのみアプリをインストールしてください。

さらに、AndroidスマートフォンでGoogle Play Protectを有効にして、現在のすべてのアプリとダウンロードする新しいアプリをマルウェアのスキャンを行うようにしてください。

また、追加のセキュリティのためにAndroid用の追加のウイルス対策ソフトウェアをインストールすることを検討してください。