オンラインバンク6社と仮想通貨取引所1社に偽装した不正アプリがGoogle Playに出回った。このアプリをユーザーがインストールすると、クレジットカード情報などを奪われるフィッシング詐欺に引っかかる可能性がある。このアプリについてこれまでにわかっていることを報告する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
Googleの公式アプリストアであるGoogle Playに、偽物のファイナンスアプリが紛れ込んでいることが明らかとなった。これらのアプリはニュージーランド、オーストラリア、英国、スイスおよびポーランドの銀行6社、オーストリアの仮想通貨取引所であるビットパンダに偽装。偽フォームを用い、クレジットカードの詳細情報やログイン認証情報が盗み出そうとするフィッシング詐欺が仕込まれていたのだ。
図1 – Google Play上で見つかった6つの不正アプリ
Google Playで発見された6件の不正アプリ
2018年6月、Google Playにアップロードされた不正アプリが、Googleが削除するまでに千回以上インストールされるという事態が発生した。このアプリは、それぞれ別のアイコンを装い、それぞれ別のデベロッパー名でアップロードされた。しかし、アプリを構成するソースコードが似ていたことから、同一犯によるものであることが判明するに至った。アプリはどうやらソースコードに難読化の処理を施していたため、不正検出のフィルターを潜り抜け、ストアへのアップロードに成功したようである。
これら不正アプリの唯一の目的は、ITリテラシーが低いユーザーから機密情報を取得することにある。アプリの中には、標的にされた「ビットパンダ」などのサービスにおいて正規版のモバイルアプリがないことを悪用するものや、既存の正規アプリに偽装してユーザーをだまそうとするものもある。この記事の文末に、標的にされた銀行とサービスの全リストを掲載しているので参考にしてほしい。
不正アプリの挙動と表示する画面
不正アプリを起動すると、銀行やサービスのログイン画面を装った画面へと誘導し、クレジットカードの詳細情報やログイン認証情報を入力するためのフォームが表示される (例については図2を参照)。ユーザーがこれらのフォームに情報を入力し送信ボタンをクリックすると、データが攻撃者のサーバーへと送信されてしまう。アプリ画面上には「おめでとうございます」や「ありがとうございます」といったメッセージが表示され、アプリはその任務を全うしたことになる(例については図3を参照)。
図2 – フィッシング詐欺でクレジットカードの詳細やインターネットバンキングのログイン認証情報を盗み出すための偽フォーム
図3 – 不正アプリで表示される最終画面
これらの不正アプリから身を守るための対策とは?
これらの不正アプリのいずれかをインストールしたり、使用してしまったかもしれないと感じたら、すぐにアンインストールすること。それこそがまずできる身を守る最善の方法だろう。
そして、クレジットカードのPINコードやインターネットバンキングのパスワードを変更することが望ましい。合わせて、銀行口座に疑わしい取引履歴がないかをすぐさま確認すること。取引履歴に何らかのおかしい取引が見つかったら銀行に連絡をすべきだろう。実際、仮想通貨取引所の「ビットパンダ」はユーザーに向けて、不正アプリをインストールしたと思ったら、口座に疑わしい取引履歴がないか確認し、パスワードを変更するように案内している。
フィッシング詐欺やその他の不正なファイナンスアプリなどに引っかからないためにやっておきたい対策
- 現在利用している銀行やファイナンスサービスの公式ウェブサイトからリンクされているアプリのみを信用すること。
- Google Play公式ストアのみからアプリをダウンロードすること。
ただし、公式ストア上に掲載されているからといってそのアプリが不正なものでないことを保証するものではないことに注意が必要だ。ただし、一度公開されると削除されることがまずないサードパーティのアプリストアには不正アプリが多くアップロードされており、Google Playのほうが安全性は高い。 - Google Playからアプリをダウンロードする場合、ダウンロード数、アプリの評価やレビューに注意すること。
- 入力フォームの安全性と送信先が信頼できる場合にのみ、機密情報を入力すること。
- Android端末を常に最新の状態に保ち、信頼できるモバイルセキュリティソリューションを採用すること。ESET製品なら、Android/Spy.Banker.AIF、Android/Spy.Banker.AIEおよびAndroid/Spy.Banker.AIPといった不正なアプリを検出し、ブロックすることが可能だ。
標的にされた銀行とサービス
<オーストラリアとニュージーランド>
<イギリス>
<スイス>
<ポーランド>
- ザボドニWBK銀行 (2018年9月、サンタンデール・バンク・ポルスカに名称変更)
<オーストリア>
| パッケージ名 | ハッシュ値 | ESET製品での検出名 |
|---|---|---|
| cw.cwnbm.mobile | 651A3734103472297A2C65C81757FB5820AD2AB7 | Android/Spy.Banker.AIF |
| au.money.go | DE09F03C401141BEB05F229515ABB64811DDB853 | Android/Spy.Banker.AIF |
| asb.ezy.pay | B6D70983C28B8A0059B454065D599B4E18E8097C | Android/Spy.Banker.AIF |
| uk.mobile.tsb | 91692607FB529218ADF00F256D5D1862DF90DAAF | Android/Spy.Banker.AIF |
| ch.post.finance | FE1B2799B65D36F19484930FAF0DA17A0DBE9868 | Android/Spy.Banker.AIF |
| pl.mblzch | C43E7A28E1B807225F1E188C6DA51D24DCC54F5F | Android/Spy.Banker.AIE |
| www.bit.panda | 7D80158C8C893E46DC15E6D92ED2FECFDB12BF9F | Android/Spy.Banker.AIP |
