セキュリティ研究者らによると、重要なシステムアップデートを装った新しい強力なAndroidのマルウェアは、被害者のデバイスを完全に制御し、データを盗むことができるという。
このマルウェアは、AndroidデバイスのアプリストアであるGoogle Play以外の場所からインストールされた「System Update(システムアップデート)」という名のアプリにバンドルされていることが判明した。ユーザーがインストールするとこのアプリはその姿を隠し、被害者の端末から攻撃者のサーバーにデータを密かに流出させる。
悪意のあるアプリを発見したモバイルセキュリティ企業Zimperiumの研究者によると、被害者がこのアプリをインストールすると、マルウェアは端末を遠隔操作するために使用されている攻撃者のFirebaseサーバーと通信する仕組みになっているとのこと。
このスパイウェアはメッセージ、連絡先、デバイスの詳細情報、ブラウザのブックマークや検索履歴を盗み出し、マイクから通話や周囲の音を録音し、携帯電話のカメラを使って写真を撮影することができる。また、被害者の位置情報を追跡したり、文書ファイルを検索したり、デバイスのクリップボードからコピーされたデータを取得したりもするという。
このマルウェアは被害者から姿を隠し、画像全体ではなくサムネイルを攻撃者のサーバーにアップロードすることでネットワークデータの消費量を減らし、捕捉を逃れようとする。また、位置情報や写真などの最新のデータをキャプチャする。
ZimperiumのCEOであるShridhar Mittal(シュリダー・ミッタル)氏は、今回のマルウェアは標的型攻撃の一環である可能性が高いと述べている。
ミッタル氏は「これまで見た中で最も巧妙なマルウェアです」と語った。「このアプリの開発には多くの時間と労力が費やされていると思います。このようなアプリは他にもあると思われますが、できるだけ早く見つけられるように最善を尽くしています」とも。
ユーザーを騙して悪意のあるアプリをインストールさせることは、被害者の端末を危険にさらすシンプルかつ効果的な方法だ。Android端末では、アプリストア以外からアプリをインストールしないよう警告されるのもそのためだ。しかし、古いデバイスの多くは最新のアプリが動作しないため、ユーザーは海賊版アプリストアの古いバージョンのアプリに頼らざるを得ない。
ミッタル氏は、Google Playからこの悪質アプリがインストールされることはなかったと確認している。Google(グーグル)の広報担当者は、同マルウェアがAndroidアプリストアに侵入するのを防ぐために同社がどのような措置を講じているかについてはコメントを控えた。Googleはこれまでにも、悪質なアプリがフィルターをすり抜けてしまうことがあった。
関連記事
・個人の位置情報をブローカーに売っていたX-Modeはアプリがストアから排除されてもユーザーの追跡を継続
・Googleが2000万回ダウンロードされた子供向けAndroidアプリ3つを保護違反で削除
被害者のデバイスに広範囲に渡ってアクセスすることができるこの種のマルウェアは、さまざまな形態や名前があるが、主にすることは同じだ。インターネットの黎明期には、ウェブカムを使って被害者を盗撮するリモートアクセス型トロイの木馬(Remote Access Trojans、RAT)が存在した。現在では、子供用の監視アプリが、ユーザーの配偶者を監視するために転用されることが多く、ストーカーウェアや配偶者ウェアとして知られている。
2020年にTechCrunchは、表向きは子ども用の監視アプリであるKidsGuardストーカーウェアが、同様の「システムアップデート」を利用して被害者の端末を感染させたことを報じた。
関連記事:すべてを監視するストーカーウェア「KidsGuard」から個人データが大量に漏洩
研究者たちは、今回のマルウェアを作ったのが誰なのか、誰をターゲットにしているのかはわからないという。
「このところ、モバイル端末を狙ったRATが増えてきています。攻撃者たちは、モバイル機器にも同様に多くの情報があり、従来のエンドポイントよりもはるかに保護されていないことに気づいているのでしょう」とミッタル氏は述べている。
カテゴリー:セキュリティ
タグ:Android、マルウェア
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)