トレンドマイクロは、クリーナーやブースターなどAndroid向けユーティリティアプリとしてGoogle Play上で配信されていた不正アプリ(AndroidOS_BadBooster.HRXとして検出)を多数確認しました。これらのアプリは、不正な目的のために、デバイスに表示させる広告の設定を管理するサーバへアクセスして、モバイル広告詐欺(Mobile Ad Fraud)を実行すると共に、感染デバイスへさらに別の不正アプリをダウンロードし感染させます。「ファイルの整理や削除によってデバイスのパフォーマンスを向上させるアプリ」に偽装したこれらの不正アプリは、合計で47万回以上ダウンロードされていました。弊社の調査から、同種の不正活動は2017年から開始されていたことが判明しています。なお、本記事執筆時点においてこれらの不正アプリはGoogle Playストアから削除されています。
続きを読むトレンドマイクロは、カメラアプリに偽装した複数のAndroid端末向け不正アプリ(「AndroidOS_BadCamera.HRX」として検出))をGoogle Playで確認しました。これらの不正アプリは、遠隔サーバから設定をダウンロードしてポップアップ広告を表示し、クリックしたユーザをフィッシングサイトやポルノアプリに誘導します。他にも、ユーザがアップロードした画像を窃取する、画像加工アプリに偽装した不正アプリも確認されています。これらの中にはすでに百万回以上ダウンロードされている不正アプリもありました。カメラアプリや画像加工アプリの人気を考えると、このようなダウンロード数は驚くべきことではありません。ダウンロードの大半はインドを中心としたアジアからのものでした。
本記事執筆時点(2019年1月30日)でGoogle はすでにこれらの不正アプリをGoogle Playから削除しています。
図 1:Google Playで確認された不正なカメラアプリ
2018 年 3 月上旬以降、日本、韓国、中国、台湾、そして香港を対象とする新しいネットワーク攻撃が確認されています。これは、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる攻撃で、総当たり攻撃や辞書攻撃のような手法を利用して DNS サーバに侵入し、設定を書き換えたものと考えられます。変更された DNS 設定によって誘導されるドメインは、Android 端末向け不正アプリ「XLOADER(エックスローダ)」(「ANDROIDOS_XLOADER.HRX」として検出)の拡散およびインストールに利用されています。
XLOADER は、DNS 設定の変更によって誘導されたドメインからユーザの端末に送信される通知によって拡散し、正規の Facebook アプリまたは Chrome アプリに偽装しています。この不正アプリは、個人情報や金融機関情報、インストールされているアプリ一覧情報などを窃取します。また、感染端末を乗っ取って SMS を送信したり、管理者権限を利用して設定の変更を防いだり、活動を継続したりすることが可能です。
図 1:偽の Facebook アプリおよび Chrome アプリ(赤枠)
(さらに…) 続きを読む
トレンドマイクロは、プログラミング言語「Kotlin」で開発されたものでは初めてとなる Android 端末向け不正アプリ(「ANDROIDOS_BKOTKLIND.HRX」として検出)を確認しました。Kotlin は、マルチプラットフォーム向けアプリケーション開発のためのオープンソースのプログラミング言語です。トレンドマイクロが Google Play で確認した検体は「Swift Cleaner」という名称で、不要なデータを削除し Android 端末を最適化するユーティリティツールに偽装していました。この不正アプリは 2018 年 1 月 9 日の時点で 1,000 回から 5,000 回インストールされており、遠隔からのコマンド実行、情報窃取、テキストメッセージ(ショートメッセージサービス、SMS)の送信、URL の転送、広告クリック詐欺等が可能です。また、ユーザの許可無しに有料の SMS サービスに登録する機能も備えています。
続きを読むトレンドマイクロは、Android の「Toast」機能を利用したオーバーレイ攻撃によって、感染端末に密かに不正アプリをインストールする新しい Android 端末向け不正アプリ「TOASTAMIGO(トーストアミーゴ)」(「ANDROIDOS_TOASTAMIGO」として検出)を Google Play で確認しました。TOASTAMIGO の 1 つは、2017 年 11 月 6 日時点で 100,000~500,000 回インストールされています。この不正アプリは、Android 端末の「ユーザー補助機能」を悪用し、少なくとも今のところ、広告のクリック、アプリのインストール、削除防止による攻撃の持続等の機能を備えています。
続きを読む