ハッカーが 30 万回ダウンロードされた Android アプリのパスワードを強制的に盗んだ方法

サイバーセキュリティ企業の ThreatFabric は、パスワードやその他の個人データを盗むマルウェアを含む、悪意のあるアプリの大規模なキャンペーンを振り返っています。

サイバーセキュリティ企業ThreatFabricのレポートによると、30万人以上のAndroidユーザーが銀行情報を盗むために悪意のあるアプリをインストールしていることが明らかになった。悪意のあるアプリは Google によって削除され無効にされていますが、開発者は独自の方法を使用してマルウェアをユーザーに配布しており、これを誰もが認識する必要があります。

ハッカーは数種類のマルウェアを使用しました。

ThreatFabric レポートでは、そのような悪意のあるアプリは少数しか言及されていませんが、リストには QR コード スキャナー、PDF スキャナー、運動追跡アプリ、暗号化アプリが含まれています。機能を偽って宣伝する他の悪意のあるアプリケーションとは異なり、今日私たちが興味を持っているアプリケーションのほとんどは、記載されているように完全に動作します。実際、すべてがバックグラウンドで起こっており、アプリケーションはパスワードやその他多くの重要な個人データを盗んでいました。

研究者らは、使用するマルウェアに応じてアプリを 4 つの主要な「ファミリー」に分類しました。

• Anatsa: 4 つのファミリーのうち最大のファミリーは、総ダウンロード数が 200,000 を超え、Anatsa バンキング トロイの木馬を使用していました。これは、Android のアクセシビリティ機能のスクリーンショットを使用して、ユーザー名、パスワード、その他の個人データを盗みます。
• Alien: 2 番目にダウンロード数の多いアプリ ファミリは Alien で、95,000 台以上のデバイスがインストールされています。エイリアンは 2 要素認証コードを傍受し、ハッカーはこのコードを使用してユーザーの銀行口座にアクセスします。
• ヒドラとエルマック: 最後の 2 つの家族は、サイバー犯罪グループ ブリュンヒルデと関係のあるヒドラとエルマックの家族です。このグループはマルウェアを使用してユーザーのデバイスにリモートからアクセスし、銀行情報を取得しました。ThreatFabric レポートによると、Hydra と Ermac のダウンロード数は 15,000 を超えています。

これらのマルウェア ファミリはどのようにして Google のセキュリティ対策をすり抜けたのか

ThreatFabric はこれらのアプリを Google に報告し、Google は直ちにそれらのアプリを Play ストアから削除し、インストールされているデバイスで無効にしました。しかし、本当の問題は、ハッカーがどのようにしてアプリ内にマルウェアを隠すことができたのかということです。

通常、Play ストアは悪意のあるコードを含むアプリを傍受して削除します。ただし、今回私たちが関心を持っているケースでは、マルウェアは最初のダウンロードには含まれておらず、ユーザーがアプリケーションを使い続けるためにインストールする必要があるアップデートを通じて追加されました。この方法を使用すると、開発者は Google の検出システムを起動せずにアプリを送信できます。そして、主張されているように、これらのアプリケーションは完璧に動作したため、ユーザーはほとんど何も疑うことはできませんでした。ただし、アップデートの兆候はいくつかありましたが、

Android デバイスをマルウェアから保護する方法

デバイスを安全に保ち、そのようなマルウェアのインストールを回避したい場合は、できることがたくさんあります。まず、アプリを初めてインストールするときだけでなく、起動または更新するたびに、アプリがどのような権限を要求するかに細心の注意を払ってください。アプリをアンインストールし、疑わしいものや不必要なものを要求した場合は報告してください。たとえば、QR コード スキャン アプリがユーザー補助サービスにアクセスする必要がある理由はありません。

同様に、アップデートは Google Play ストアからのみ直接インストールしてください。アプリにフラッシュ アップデートが必要であると表示されているにもかかわらず、Play ストアで入手できない場合、そのアップデートは違法である可能性があります。Play ストア以外の何かをダウンロードするリクエストについても同様です。この方法でアプリをダウンロードしてインストールすることが安全なのは、APK Mirror や XDA Dev フォーラムなどの信頼できるソースから自分で APK ファイルをダウンロードする場合に限られます。また、Google Play にある場合でも、ハッカーが偽のコメントでアプリの正当性を損なう可能性があるため、ダウンロードする前にアプリを確認することを忘れないでください。

これらのさまざまな習慣は、ワンタイム パスワード、安全な暗号化パスワード マネージャー、2 要素認証、アプリなどの他のサイバーセキュリティ実践と組み合わせると、潜在的なマルウェアから完全に保護できない可能性があります。安全なマルウェア対策とウイルス対策により、ハッカーやその悪意のあるアプリケーションからしっかりと保護されます。