Android向け不正アプリ「Geost(ゲオスト)」は、ロシアのモバイルバンキングを標的とするバンキングトロジャンの活動を行うものです。Geostのボットネットによる被害者は、Virus Bulletinで調査報告が公開された昨年2019年の時点で、80万人を超えていました。調査によって、Geostがユーザから収集する情報や、利用する手法、そしてボットマスターとボットネット間で行われる通信など、ボットネットの背後にあるグループの活動について明らかにされています。
続きを読むトレンドマイクロは、クリーナーやブースターなどAndroid向けユーティリティアプリとしてGoogle Play上で配信されていた不正アプリ(AndroidOS_BadBooster.HRXとして検出)を多数確認しました。これらのアプリは、不正な目的のために、デバイスに表示させる広告の設定を管理するサーバへアクセスして、モバイル広告詐欺(Mobile Ad Fraud)を実行すると共に、感染デバイスへさらに別の不正アプリをダウンロードし感染させます。「ファイルの整理や削除によってデバイスのパフォーマンスを向上させるアプリ」に偽装したこれらの不正アプリは、合計で47万回以上ダウンロードされていました。弊社の調査から、同種の不正活動は2017年から開始されていたことが判明しています。なお、本記事執筆時点においてこれらの不正アプリはGoogle Playストアから削除されています。
続きを読む長期にわたって活動を継続しているマルウェアは、時間と共にその活動内容を変化させていく傾向にあります。2013年前後に登場したAndroid向けバンキングトロジャン「FakeToken(フェイクトークン)」もその1つです。2017年に確認されたFakeTokenは、タクシー配車アプリを偽装し、感染端末から個人を特定できる情報(PII)を窃取する機能に加え、ランサムウェア機能まで持っていました。そして2020年に入り、カスペルスキーのリサーチャは、約5,000台のスマートフォンがSMSで海外へ迷惑メッセージを送信していたことを検知しました。そしてそれは、FakeTokenの新しい機能によるものであることが確認されました。
続きを読むトレンドマイクロではGoogle Playストアで3つの不正アプリを確認しました。これらのアプリは、連携することでAndroidデバイスを侵害し、個人情報を窃取します。3つのアプリの1つは「Camero」と呼ばれ、Android端末の主要なプロセス間通信システム上に存在する脆弱性「CVE-2019-2215」を悪用し、開放されたメモリへの再アクセスを可能にする「UAF(Use After Free)脆弱性」を悪用した最初の攻撃事例と言えます。しかもさらなる調査の結果、これら3つのアプリは、サイバー犯罪集団「SideWinder」の攻撃ツールの一部である可能性が高いことも判明しました。このサイバー犯罪集団は2012年から活動しており、軍事関係機関で使用されているWindowsベースのシステムを標的にしていることでも知られています。
続きを読む2011年、日本で「カレログ」というAndroidアプリの存在が大きな注目を集めました。カレログは「彼氏追跡情報サービス」の名目で、スマートフォン上のメールやSMS、Web閲覧履歴などの情報取得に加え、通話記録やGPSによる位置情報など物理的な情報までも追跡する機能を持っていました。当然、個人のプライバシーや法的な観点から問題視され、当時の総務相がコメントを出す事態となりました。 その後、運営元は2012年にカレログのサービスを終了し後継サービスに引き継ぐなど、問題点の改善を続けましたが、2014年には後継サービスも提供終了となりました。
続きを読むAndroidアプリ「WhatsApp」に存在する脆弱性「CVE-2019-11932」は、2019年10月2日、「Awakened」と呼ばれるリサーチャによって初めて公開されました。細工した不正なGIFファイルを使用することによってリモートでコードの実行が可能になるこの脆弱性は、更新されたWhatsAppのバージョン2.19.244で対処済みとなりました。しかし、この脆弱性の根本的な問題は、Android用画像読み込みライブラリのパッケージである「android-gif-drawable」に含まれる「libpl_droidsonroids_gif.so」というライブラリに存在します。つまり、問題はWhatsAppだけのものではない可能性がある、ということです。ライブラリ自体の欠陥についてもすでに対処されているものの、多くのアプリが依然として古いバージョンのライブラリを使用しているため、リスクにさらされたままとなっています。
(さらに…)
Googleは、今年2019年に入ってAndroidアプリのアクセス権限のリクエストに関するデベロッパーポリシーを更新しました。中でも、「通話履歴に関する権限グループ」と「SMS に関する権限グループ」への制限は、不正アプリがアクセス権限を利用することにより、マルウェアの拡散や個人情報の窃取といった不正活動を行うことを抑止するために設けられました。しかしサイバー犯罪者は、制限があればその回避方法を見つけるなどして攻撃を巧妙化させ、常に利益を追って活発に活動しています。その典型的な例が、最近トレンドマイクロが確認した、美しく撮れるカメラアプリを偽装し不正にモバイル決済を行うAndroid向け不正アプリ「AndroidOS_SMSNotfy」です。
(さらに…)
iOSの 「App Store」とAndroidの「Google Play」、この二つの正規プラットフォーム上にアドウェアやマルウェアの混入した偽アプリが潜り込んでいることはさほど珍しくなくなっているようです。今回、トレンドマイクロは、正規アプリストアであるApp StoreおよびGoogle Play上で、アプリ概要欄の説明と内容が違うコンテンツを含む数百の偽アプリを確認しました。偽アプリは、表面上は一般的な正規アプリのように見えますが、ギャンブルアプリの側面を隠し持っていました。また、日本のアプリストア上でもダウンロード可能で、一部のアプリ概要欄では日本語が使用されているものもありました。
(さらに…)
アドウェアを利用しモバイル広告で収益を得ようとするサイバー犯罪者の動きについては7月16日のブログ記事でも報告しています。同様に、不正に広告を表示するモバイルマルウェアの新種である「Agent Smith(エージェント・スミス)」に関する調査結果を、セキュリティ企業「Check Point」が2019年7月10日に公表しています。この報告では、インド、サウジアラビア、パキスタン、バングラデシュ、イギリス、アメリカ合衆国、そしてオーストラリアを中心に、約2,500万台ものデバイスが感染したとされています。この「Agent Smith」はトレンドマイクロでは現在「AndroidOS_InfectionAds.HRXA」として検出するものであり、このマルウェアを含む攻撃キャンペーンについては「Operation Adonis」と命名し調査していたものでした。この命名は、この攻撃で使用された多くのマルウェアで使用された証明書に”Adonis”の文字列が含まれていたことに由来しています。このマルウェアはオペレーティングシステム(OS)内に存在するAndroidの脆弱性を利用し、インストール済のアプリをユーザに知られずに不正なバージョンに置き換えることでAndroidデバイスに感染します。このマルウェアはユーザのデバイスに金銭的利益を目的とする不正な広告を表示しますが、この他にも銀行口座情報の窃取や攻撃の対象となったユーザの監視など、より直接的な被害につながる攻撃に活用される可能性があると見られます。
(さらに…)