ハッカーが 30 万人の Android ユーザーをだましてパスワードを盗むマルウェアをダウンロードさせた方法


サイバーセキュリティ企業 ThreatFabric の最近のレポートでは、次のことが明らかになりました。300,000 人以上の Android ユーザーがトロイの木馬アプリをインストール密かに銀行情報を盗んだのです。アプリは Google によって削除され無効化されましたが、開発者は独自の方法を使用して、すべての Android ユーザーが警戒する必要があるマルウェアを展開しました。

ハッカーは複数の種類のマルウェアを使用した

ThreatFabric のレポートでは、悪意のあるアプリの一部のみが言及されていますが、それらには QR スキャナー、PDF スキャナー、フィットネス トラッカー、暗号化アプリが含まれています。機能を偽って宣伝する他の偽アプリとは異なり、この悪意のある Android ソフトウェア バッチに含まれるアプリの多くは意図したとおりに動作しました。しかし、アプリは舞台裏でパスワードやその他のユーザーデータを盗んでいました。

研究者らは、使用された特定のマルウェアに基づいてアプリを 4 つの異なる「ファミリー」に分類しました。

  • 彼はこう言いました。4 つのマルウェア ファミリのうち最大のものは、合計 200,000 件以上のダウンロードがあり、Anatsa と呼ばれるバンキング型トロイの木馬を使用していました。トロイの木馬 Android を使用しています ログイン情報やその他の個人データを盗むための画面キャプチャ アクセシビリティ機能。

  • エイリアン:2 番目にダウンロードされたトロイの木馬は Alien で、95,000 台以上のデバイスにインストールされました。 Alien は 2 要素認証 (2FA) コードを傍受し、ハッカーはこのコードを使用してユーザーの銀行口座にログインできます。 

  • ヒドラとエルマック:最後の 2 つのファミリーは、Hydra マルウェアと Ermac マルウェアを使用しており、どちらもサイバー犯罪組織グループ Brunhilda に関連しています。このグループは、このマルウェアを使用してユーザーのデバイスにリモートからアクセスし、銀行情報を盗みました。 ThreatFabric のレポートによると、Hyrda と Ermac を使用したアプリは合計 15,000 以上のダウンロードを記録しました。

これらのマルウェア ファミリは Google のセキュリティ対策をどのように回避するのか

ThreatFabric はこれらのアプリを Google に報告し、その後、これらのアプリは Play ストアから削除され、インストールされていたすべてのデバイスで非アクティブ化されました。しかし、本当の問題は、そもそもハッカーがどのようにしてマルウェアをアプリに忍び込ませたかということです。

通常、Play ストアは疑わしいコードを含むアプリを見つけて削除します。ただし、これらの場合、マルウェアは最初のダウンロードでは配布されず、アプリを実行し続けるためにユーザーがインストールする必要のあるアップデートに追加されました。この方法を使用すると、開発者は Google の検出を妨げることなくアプリを送信できます。また、アプリは意図したとおりに動作するため、ユーザーが何か異常に気づく可能性はほとんどありません。ただし、問題のアップデートには、ユーザー補助サービスの権限を要求したり、ユーザーに追加のソフトウェアのサイドロードを強制したりする可能性があるため、問題があるという明らかな兆候がいくつかありました。

Android デバイスをマルウェアから守る方法

デバイスとデータを同様のマルウェア アプリから安全に保つためにできることがいくつかあります。まず、いつもアプリが要求する権限に注意してください—初めてインストールするときだけでなく、実行または更新するときも同様です。アプリが不審または不必要と思われる場合は、アプリを削除して報告してください。たとえば、QR コード スキャナーがユーザー補助サービスにアクセスする必要がある理由はありません。

同様に、アップデートは Google Play ストアからのみ直接インストールしてください。アプリに突然のアップデートが必要であると表示されているにもかかわらず、Play ストア アプリにアップデートが表示されない場合、それは正規のパッチではない可能性があります。追加のアプリをサイドロードするランダムなリクエストについても同様です。アプリをサイドロードしても安全なのは、APK Mirror や XDA Dev フォーラムなどの信頼できる検証済みのソースから APK ファイルを自分でダウンロードする場合だけです。そして徹底的に行うことを忘れないでくださいダウンロードする前にアプリを精査するたとえGoogle Play上にあるとしても、ハッカーは誤解を招くレビューでアプリの正当性を偽ることができるからです。

これらの戦略はそうではありませんが、保証されています他のサイバーセキュリティ対策と組み合わせることで、すべてのマルウェア攻撃を防ぐことができます。暗号化されたパスワードマネージャー2FA ログイン、 そして信頼できるマルウェア対策およびウイルス対策アプリ、将来的には、悪意のある行為者や悪質なアプリからより確実に保護されるようになります。

[ZDNet