TREND COMMENTARY

トレンド解説 | マルウェアに関する最新の動向、対処方法

便利なアプリを装うAndroidマルウェア「チャージャー」

この記事をシェア

ESETのセキュリティ専門家は、Google Playにて、Androidユーザーを標的にしたマルウェアを発見した。便利なユーティリティーである、懐中電灯のウィジェットのふりをしているが、実はそうではない。これは、オンラインバンキングのパスワードなどを盗み出そうとするトロイの木馬である。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

便利なアプリを装うAndroidマルウェア「チャージャー」

Androidユーザーが、新たなバンキング型トロイの木馬の標的になっている。このアプリはGoogle Play上において「懐中電灯アプリ」を装っているが、スクリーンロックをする機能を持っている。ほかのバンキング型トロイの木馬が標的となるバンキングアプリ群を固定しているのに対し、このトロイの木馬はそれを動的に変更することが可能である。

宣伝文句の通りに懐中電灯の機能が提供されるかどうかはさておき、遠隔制御されるトロイの木馬にはさまざまな追加機能があり、被害者のオンラインバンキングの認証情報を盗むことも可能である。つまり、C&Cサーバーからのコマンドに基づき、正規のアプリを模倣して偽のスクリーンを掲示し、不正行為を隠すために感染デバイスをロックし、SMSを傍受し、2要素認証を回避するために偽の通知を表示するのである。

このマルウェアはどのバージョンのAndroidにも感染する。また、動作をその都度変更できるため、標的となるアプリに制約もない。具体的には、被害者のデバイス内にインストールされているアプリに基づきHTMLコードを取得する。そして、それを利用して、アプリの起動後に上からかぶせて偽のスクリーンを表示させるのである。

このトロイの木馬をESETは「チャージャー」(Trojan.Android/Charger.B)として識別している。2017年3月30日にGoogle Playにアップロードされ、4月10日にESETの通知によりこのトロイの木馬が駆除されるまで、最大5,000のユーザーに疑われることなくインストールされてしまった。

Google Playにアップされていたトロイの木馬

Google Playにアップされていたトロイの木馬

このマルウェアはどのように動作するのか

このアプリがインストールされ起動が行われると、デバイス管理者の権限を要求する。Android 6.0以上の利用者も他のアプリに対するアクセスと、上書き描画を手動で許可する必要がある。その権限とアクセス許可を使用してアイコンを隠し、デバイス上ではウィジェットとしてのみ見えるようにする。

実際のマルウェア本体のデータは、Google PlayからインストールされたAPKファイル内に暗号化されて潜んでおり、その不正機能が検知されないようにしている。被害者がそのアプリを実行すると、マルウェア本体が投下され、復号され、そして実行されることになる。

このトロイの木馬は、まず感染したデバイスを攻撃者のサーバーに登録する。そして、デバイス情報とインストールされているアプリのリストを送信するのと並行して、被害者にも接近する。具体的には、フロントカメラでデバイスの持ち主を撮影し、その写真を添付して送信しているのである。

もし送付された情報によってデバイスがロシア、ウクライナ、もしくはベラルーシにあることが分かれば、C&Cサーバーはそのマルウェアの活動を停止するよう命令を出す。おそらくこれは、攻撃者が自分の国を攻撃してしまうことを避けるためのものであろう。

感染したデバイスの中で発見されたアプリに基づき、C&Cサーバーは不正HTMLコードという形で対応する偽のアクティビティーを送信する。被害者が標的にされたアプリの1つを起動すると、そのHTMLはWebViewに表示される。すると正当なアクティビティーは偽のスクリーンに上書きされ、被害者のクレジットカードの詳細やバンキングアプリの認証情報を要求してくる。

しかし、前述したようにどのアプリが標的とされたかを特定するのは困難である。というのも、要求されたHTMLはデバイスごとにインストールされているアプリにより異なるためである。我々の調査では、Commbank、NAB、そしてWestpac Mobile Bankingの偽スクリーンが確認されている。また、Facebook、WhatsApp、Instagram、そしてGoogle Playについても確認されている。

偽のフォームに入力された認証情報は、暗号化されることなく攻撃者のC&Cサーバーに送信される。

このマルウェアのデバイスのロック機能は、不正侵入された銀行アカウントを清算する際に、画像を挿入している可能性がある。攻撃者は被害者から詐欺活動を隠すため、また、被害者がその活動を妨害できないようにするために、遠隔からデバイスをロックし、偽のアップデートに似た画面を表示しているのである。

感染したデバイス上で見つかったアプリのふりをする偽画面

感染したデバイス上で見つかったアプリのふりをする偽画面

感染したデバイスをロックするのに用いられる偽システム画面

感染したデバイスをロックするのに用いられる偽システム画面

C&Cサーバーと通信するため、このトロイの木馬は「FCM」(Firebase Cloud Messages)を悪用する。なお、Androidマルウェアがこの通信チャンネルを利用するのを目にするのはこれが初めてである。

ESETの調査によると、そのアプリはチャージャーの修正版であり、2017年1月にチェックポイント(Check Point)社の研究者により最初に発見された。初期のバージョンは被害者のデバイスをロックし身代金を要求するというものであったが、現在では銀行の認証情報をだまし取ろうとしている。これは、Androidマルウェアの世界におけるまれな進化である。

この偽のログイン画面とロック能力に着目すると、「Android/Charger.B」はESETが2017年2月に発見・分析したオンラインバンキングの情報を狙うマルウェアと類似点がある。しかし今回発見されたものがより危険であるのは、標的を動的に更新できることであり、これはマルウェアの中にハードコードされているものとは対照的である。そのため、将来の悪用の可能性が無限に広がっている。

デバイスが感染の恐れがある場合、感染除去をするためにはどうすればよいか

もしもGoogle Playから「Flashlight」のアプリをダウンロードしているのであれば、偶然このトロイの木馬をダウンロードしてしまっていないかどうか、確認したいことだろう。

この不正アプリは「Setting > Application Manager/Apps > Flashlight Widget」にて発見できる。

アプリマネージャーにおける不正アプリ

アプリマネージャーにおける不正アプリ

このアプリを検索するのは簡単であるが、アンインストールするのはそう簡単ではない。このトロイの木馬はアクティブなデバイス管理者に停止許可を与えないことにより、アンインストールを阻止しようとする。この停止はこのアプリを削除するのに必要なステップである。デバイス管理者の権限を無効にしようとすると、ポップアップスクリーンが登場する。考えを変えて「有効にする」を再びクリックするまで、そのポップアップスクリーンが消えない状態に陥る。

そのような場合には、デバイスをセーフモードで起動することによりアンインストール可能になる。セーフモードではその不正アプリを取り除くために幾つかのステップを実施することができる。

どのようにして安全を保っていくべきか

モバイルマルウェアの影響を避けるためには、防止策を講じることが常に重要である。

アプリのダウンロードには公式アプリストアを利用すべきである。全てのアプリが安全というわけではないものの、Google Playはマルウェアを締め出すための先進的なセキュリティ機構を実装している。それに対し、その他のストアでは必ずしも同様の対策が実施されていないのが実情である。

アプリのインストールに不安がある際には、インストール数、その評価、そして最も重要なことはそのレビューの内容を確認する必要がある。

また、モバイルデバイスにインストールしたアプリを実行する際には、どのパーミッションと権限が求められているかを確認しよう。もしアプリがその機能に見合わないパーミッションを要求しているのであれば、インストールを考え直した方が良いかもしれない。例えば「Flashlight」のアプリがデバイス管理者権限を要求するのは不自然である。

最後に、評判の高いウイルス対策ソフトを使用して、最新の脅威からデバイスを保護することをお勧めする。

この記事をシェア

Androidのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!