InstagramやGoogleの公式アイコン悪用するAndroid狙うマルウェアに注意

画像提供：マイナビニュース

SonicWallはこのほど、「Android Remote Access Trojan Equipped to Harvest Credentials｜SonicWall」において、Androidデバイスを標的とする資格情報窃取を目的とした遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の分析結果を公開した。

○分析結果

SonicWallによると、発見されたマルウェアは、Instagram、X、Googleなど、以下の有名なAndroidアプリのアイコンを使用してユーザーをだまし、インストールさせるという。マルウェアはインストールされると、ユーザーに「アクセシビリティーサービス」と「デバイス管理者権限」の許可を求める。

これら権限を許可すると、悪意のあるアプリはユーザーの同意なしに他の権限も取得できるようになり、デバイスを制御できるようになる。デバイスの制御が可能になると悪意のあるアプリは攻撃者のコマンド＆コントロール(C2: Command and Control)サーバーに接続し、遠隔操作型トロイの木馬として動作する。

このマルウェアには次のような機能があるとされる。

メッセージ、通話履歴、連絡先リストの窃取
インストールされているアプリ一覧の窃取
壁紙の変更
さまざまなオンラインサービスの認証情報窃取
ショートメッセージサービス(SMS: Short Message Service)の送信
デバイスのバイブレーションの操作
カメラのフラッシュライトの操作

オンラインサービスの認証情報窃取は、マルウェアに埋め込まれた偽のログインページを表示して行う。偽のログインページは複数埋め込まれており、コマンド＆コントロールサーバーからの指示で表示することができる。ユーザーがログインを試みると、入力した資格情報が窃取される。

○影響と対策

これまでのところ、このマルウェアの配布経路はわかっていない。しかしながら、公式アプリと同じアイコンを使用しているものが存在することから、サードパーティーのアプリストアなどから配布されているものと推測される。

このような攻撃を回避するために、Androidユーザーには公式ストアからアプリをインストールし、他のサイトからはインストールしないことが推奨されている。また、アクセシビリティーサービスの権限はマルウェアが積極的に悪用するため、許可しないことが望まれている。
（後藤大地）