Facebook アカウントをハッキングする新手の Android マルウェアに注意!

Beware! New Android Malware Hacks Thousands of Facebook Accounts

2021/08/09 TheHackerNews — Google Play Store やサードパーティ・アプリストアで配布された、不正なアプリを介して新しい Android トロイの木馬が、少なくとも 144カ国 1万人以上のユーザーの Facebook アカウントを、2021年3月以降に侵害していることが判明した。

本日に Zimperium の zLabs が発表したレポートによると、この FlyTrap という未確認のマルウェアは、ベトナムで活動する脅威アクターが仕組んだセッション・ハイジャック・キャンペーンの一環として、ソーシャル・エンジニアリング・トリックを用いて Facebook アカウントを侵害する、トロイの木馬の一部であると考えられている。Zimperium のマルウェア研究者である Aazim Yaswant は、問題となった9つのアプリは Google Play から削除されたが、依然としてサードパーティ・アプリストアでは提供されており、サイドロードされたアプリがモバイル・エンドポイントやユーザーデータにリスクをもたらすと述べている。問題のアプリのリストは、以下の通りだ。

• GG Voucher (com.luxcarad.cardid)
• Vote European Football (com.gardenguides.plantingfree)
• GG Coupon Ads (com.free_coupon.gg_free_coupon)
• GG Voucher Ads (com.m_application.app_moi_6)
• GG Voucher (com.free.voucher)
• Chatfuel (com.ynsuper.chatfuel)
• Net Coupon (com.free_coupon.net_coupon)
• Net Coupon (com.movie.net_coupon)
• EURO 2021 Official (com.euro2021)

一連の悪質なアプリは、Netflix と Google AdWords のクーポンコードを提供し、ユーザーが Facebook アカウントでログインするという条件の下でのみ、2021年6月11日〜7月11日まで開催された UEFA EURO2020 で、お気に入りのチームとプレーヤーに投票できると勧誘していた。 つまり、そこでクーポンコードやクレジットを収集していた。このマルウェアには、被害者の Facebook ID や、位置情報、電子メールアドレス、IP アドレスだけではなく、Facebook アカウントに関連付けられた、クッキーやトークンを盗む機能が備わっている。そのため、ユーザーがアカウントにサインインすると、脅威アクターにたちによる、地理的位置情報を利用した偽情報キャンペーンなどが実施される。また、トロイの木馬へのリンクを含む個人的なメッセージの送信し、ソーシャル・エンジニアリング技術を用いることで、さらなるマルウェアの伝播も生じる。

具体的に言うと、JavaScript インジェクションと呼ばれる手口であり、Aazim Yaswant の説明によると、「JavaScript コードを注入できるように設定された WebView 内で、アプリケーションは正規の URL を開くが、悪意の JavaScript コードの注入により、Cookie /ユーザーアカウント情報 / 位置情報 / IP アドレスなどの情報を抽出される」となる。盗み出されたデータは、C2 (command-and-control) インフラ上でホストされ、C2サーバーに見つかったセキュリティ上の欠陥を悪用し、盗まれたセッション Cookie データベース全体をインターネット上に公開し、さらなるリスクにさらすこともある。

Aazim Yaswant は、ログインに使用したアプリケーションの種類には関わらず、正しいドメインにログインすれば常に安全であるという、ユーザーの一般的な誤解を、脅威アクターたちは悪用している。このキャンペーンは、144カ国のユーザーの Facebook セッション・データの取得に成功している。これらの、盗まれたアカウントは、偽の情報の提供や、政治的プロパガンダの配布まで、さまざまな目的を持つボットネットとして使用できる」と述べている。

Black Hat 2021 のキーノートは、モバイル上のゼロデイ・マルウェア駆逐が必須と主張するものでした。そこで、セキュリティ専門家である Matt Tait は「現在の問題は、モバイル分野のプラットフォーム・ベンダーが、我々が必要としているセキュリティ機能のいくつかを、積極的に妨害していることだ。そのひとつが、アプリケーションのスキャン機能だ。アプリストアにある、すべてのアプリケーションをスキャンできるようにすべきだ。Google Android の Play Storeでは、なんとなく可能だが、いまの iOS は不可能だ」と述べています。この FlyTrap も、Google Play Store のスキャンが可能であれば、被害を抑えられたかもしれませんね。

%d bloggers like this: