KDDI あんしんセキュリティを装う Android スパイウェアが配信されている

Android spyware spreading as antivirus software in Japan

2021/10/28 BleepingComputer — 日本のセキュリティ研究者が、FakeCop と呼ばれる Android 情報窃盗プログラムの亜種を発見し、この悪質な APK の配布が加速していると警告している。FakeCop は、日本のセキュリティ研究者である Yusuke Osumi により先週に発見され、KDDI を装ったフィッシング・キャンペーンで配布されている。

さらに、このマルウェアは、VirusTotal に登録されている 62件の Anti-Virus エンジンのうち、22件の Anti-Virus エンジンでしか検出されておらず、脅威アクターが隠れて活動していることを示している。

一般的なセキュリティ・ツールを装う

サイバー・セキュリティ企業である Cyble は、このマルウェアを FakeCop と名付け、日本で人気のアンチウイルス製品「あんしんセキュリティ」を装っていると報告している。研究者が分析した結果、この新しいスパイウェアは、以下のような機能が備わっているようだ。

  • SMS/連絡先/アカウント情報/アプリ一覧の収集
  • デバイスのデータベース内の SMS の変更または削除
  • デバイスのハードウェア情報 (IMEI) の収集
  • ユーザーの知らない間に SMS を送信

    このスパイウェアは、上記の機能を実行するために、ユーザーに対して高権限の許可を、数多く与えるよう要求する。セキュリティ・ソフトウェアでは、検出された脅威をスキャンして除去するために、一般的に高い権限を必要とするため、Anti-Virus ソフトウェアから要求を受けた場合、ユーザーは許可してしまう可能性が高くなる。

検知を回避する試み

また、このマルウェアの作者は、カスタム・パッカーを使用して、アプリの実際の動作を隠し、静的な検出を妨害している。悪意のコードは Bitwise XOR 暗号化され、assets フォルダ内のファイル内に保存されており、特定のアプリのサブクラスにより呼び出された場合にのみ、アンパックされるという。

さらに FakeCop は、端末のアプリ一覧を積極的にスキャンし、ウイルス対策アプリが見つかった場合には、ユーザーにアンインストールを促す通知をプッシュする。
このマルウェアがユーザーに削除を促す、ハードコードされた Anti-Virus ソリューションには、「あんしんセキュリティ」、「マカフィー・セキュリティ」、「ドコモあんしんスキャン」などがある。

FakeCop が被害者に到達する経路については、悪意のリンクが貼られた SMS 経由と、フィッシング・メール経由の2つの配布経路が、Cyble の OSINT 調査により明らかになった。

配信メカニズムとして使用されている、duckdns.org という無料のダイナミック DNS は、以前にも Medusa や Flubot の配信に使用されているため、今回のキャンペーンが同じ運営者と結びついている可能性がある。

防御の方法としては、原則として、SMS やメールで送られてきた URL のリンクをクリックすることは避け、Google Play ストア以外から APK ファイルをインストールしないことだ。また、定期的に「Google Play プロテクト」が有効になっているかどうかを確認し、新しいアプリをインストールする際には、許可の有無を必ず確認すべきである。

このブログでは、モバイル系の記事は、あまり追いかけないので、FakeCop の特異性について他と比較できませんが、高度な技術を持ったハッカーの仕業のように思えます。また、Aanti-Virus を装うというシナリオも、侵害の成功率を高めるという意味で、とても効果的だと感じます。とにかく、ご用心ください。

%d bloggers like this: