60,000 を超える悪意のある Android アプリが 6 か月以上にわたって世界中のユーザーをターゲットにしており、偽のセキュリティ ソフトウェア、ゲーム クラッカー、チート、VPN ソフトウェア、Netflix ストリーミング アプリやユーティリティを装ったアドウェアが含まれていたことが研究者らによって判明しました。
BitDefender の研究者らは、この悪意のあるキャンペーンを発見しました。このキャンペーンは主に米国の Android ユーザーをターゲットにしており、昨年 10 月に始まったと考えられています。
今週公開された投稿で、このキャンペーンの主な目的は、Android にアドウェアをプッシュして悪意のある攻撃者の収益を増やすことでしたが、ユーザーをバンキング型トロイの木馬などの他の種類の悪意のあるソフトウェアにリダイレクトする戦術に簡単に切り替えることができたことが明らかになりました。資格情報や財務情報、またはランサムウェアを盗むため。
60,000 を超えるさまざまなアプリケーションにアドウェアが含まれていることが判明しています。彼らは、現在、同じマルウェアを配布するアプリケーションがさらに多く存在すると予想しています。
悪意のあるアプリケーションの配布は自動化されているように見えるため、注目に値します。
マルウェアは、ユーザーが非表示のアプリの種類を検索すると表示されます。これは、悪意のあるアプリの配布における現在の傾向です。調査によると、被害者は通常、有料アプリのロックされていないバージョン、一般にクラック版として知られるバージョンを探しています。
実際、改造アプリは非常に人気のある商品であるため、Web サイトはこの種のパッケージの提供に専念しています。通常、変更されたアプリケーションは、すべての機能がロック解除されているか、元のプログラミングに変更が加えられた、元のアプリケーションの変更バージョンです。
ユーザーが Google で「改変された」アプリを検索してサイトを開くと、ランダムな広告ページにリダイレクトされ、正規のダウンロードを装ったマルウェアのダウンロード ページが表示されることがよくあります。
Android マルウェアの仕組み
API 30 以降、Google はランチャーの登録後に Android でアプリのアイコンを非表示にする機能を削除しました。これは、アプリケーション開発者が最初にイネーブラーを登録した場合にのみ適用されます。
これを回避するために、このキャンペーンの悪意のあるアプリはランチャーを登録せず、ユーザーとデフォルトの Android インストール動作のみに依存して初めて実行されます。
ダウンロードしたアプリをインストールする場合、プロセスの最後の画面でアプリを「開く」ことになりますが、マルウェアの場合、アプリが削除されないようにするにはそれだけで十分です。この画面では、アプリは「アプリは利用できません」というメッセージを表示して、ユーザーを騙してアプリがインストールされていないと思い込ませます。
これにより、アプリがまだインストールされていない独自の検出戦略がトリガーされ、アプリをいつ起動するかを指定する 2 つの「インテント」を登録する前に 2 時間スリープします。
後者の意図も、さらなる検出防止戦術として最初の 2 日間無効になりました。
その後、2 時間ごとにアラームがトリガーされ、サーバーにリクエストが行われ、別のアラームが登録されます。サーバーは、未知の間隔でアドウェア ステージを初期化することを選択する場合があります。
アプリが起動されると、攻撃者のサーバーに接続し、モバイル ブラウザまたは全画面 WebView 広告として表示される広告 URL を取得します。
この時点で、攻撃者は前述のピボットを利用して、認証情報や金融情報を盗むことを目的としたバンキング型トロイの木馬やランサムウェアなど、他の種類のマルウェアにユーザーをリダイレクトすることもできます。
マルウェア: どこにでも存在する Android の脅威
あるセキュリティ専門家は、このキャンペーンの存在は、モバイルおよび Android マルウェアを阻止するためにさまざまな手段が取られているにもかかわらず、攻撃者がいかに簡単に Android を脅威キャンペーンのプラットフォームとして使い続けられるかを示していると指摘しました。
また、このような脅威からユーザーを保護するために、アプリを公開する前にアプリ開発者に一般的なセキュリティとコンプライアンスの質問への回答を求めるアプリ認証など、継続的な警戒とより強力なセキュリティ対策の必要性も強調しています。
さらに、このキャンペーンでは、アプリ、特に非公式ソースからのアプリをダウンロードおよびインストールする際には注意するようユーザーに注意を喚起しています。
BitDefenderはその投稿の中で、キャンペーンのアドウェアを配布することが知られているドメインのリストを列挙したが、その一部は必ずしもマルウェアに関連しているわけではない。
また、ユーザーがアドウェアに感染しているかどうかを検出できるように、侵害の痕跡のリストも公開しています。
いつものように、ユーザーを保護するための良い手順は、公式アプリ ストア以外のソースからアプリをダウンロードしないことです。