Android に新規マルウェア Autolycos が登場:Google Play で 300 万インストール!

New Android malware on Google Play installed 3 million times

2022/07/13 BleepingComputer — Google Play ストアで、ユーザーを密かにプレミアム・サービスに加入させる、新しい Android マルウェアが 300万回以上ダウンロードされたことが分かった。Autolycos と名付けられたこのマルウェアは、Evina のセキュリティ研究者 Maxime Ingrao により、少なくとも8つの Android アプリに含まれていることが発見された。この記事の執筆時点で、そのうちの2つが、Google Play ストアでまだ利用可能であることが判明している。

この2つのアプリとは、50万インストールを超える KellyTech の Funny Camera と、5万インストールを超える rxcheldiolola の Razer Keyboard & Theme だ。

Google Play ストアの Funny Camera

残りの6つのアプリは、すでに Google Play ストアから削除されているが、インストールした状態のユーザーは、このマルウェアから、高額なサブスクリプション料を請求される危険性がある。

  • Vlog Star Video Editor (com.vlog.star.video.editor):100 万ダウンロード
  • Creative 3D Launcher (app.launcher.creative3d):100 万ダウンロード
  • Wow Beauty Camera (com.wowbeauty.camera):10 万ダウンロード
  • Gif Emoji Keyboard (com.gif.emoji.keyboard):10 万ダウンロード
  • Freeglow Camera 1.0.0 (com.glow.camera.open):5,000 ダウンロード
  • Coco Camera v1.1 (com.toomore.cool.camera):1,000 ダウンロード

Ingrao との議論の中で、研究者たちは、2021年6月にアプリを発見した際に Google に報告していたことを明らかにした。この報告を受けた Google だが、6つのアプリの削除に 6カ月を要し、現在も 2つの悪質なアプリが Play ストアに残っている。最初の報告から長い期間を経た後に、研究者たちは調査結果を公に開示した。

Autolycos の機能とプロモーション

マルウェア Autolycos は、Webview を使用する代わりに、リモートブラウザ上で URL を実行し、その結果をHTTP リクエストに取り込むという、ステルス性の高い悪意ある動作を特徴とする。その動作を目立たなくすることで、侵害したデバイスのユーザーに検出されないようにしている。

多くの場合、この不正アプリは、デバイスへのインストール時に SMS コンテンツの読み取り許可を要求し、被害者の SMS テキスト・メッセージにアクセスすることを可能にする。

Autolycos のオペレーターは、新規ユーザーにアプリを宣伝するため、ソーシャル・メディア上で多数の広告キャンペーンを展開した。Ingrao は、Razer Keyboard & Theme だけで、74の Facebook 広告キャンペーンを確認している。

Some of the recent ad campaigns on Facebook
Some of the recent ad campaigns on Facebook (@IngraoMaxime)
Facebook 広告キャンペーンの一部 (@IngraoMaxime)

また、一部の悪質なアプリは、Play ストアのネガティブなレビューに悩まされる傾向にあるが、ダウンロード数が少ないものであれば、ボットのレビューにより、良好なユーザー評価を維持できる。

Android ユーザーは、これらの脅威から身を守るために、バック・グラウンドで消費されるインターネット・データとバッテリーの監視/Play Protect の有効化/インストールするアプリ数の最小限化などを心がけてほしい。

Update 7/13/2022:Google は、この投稿の公開後すぐに、残りの 2つのアドウェア・アプリを Play ストアから削除した。

Google Play が危険地帯になっていることを示唆する記事ですね。関連する記事としては、4月8日の「Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す」や、4月28日の「Google Play 2021年の奮闘記:120 万件の悪質アプリをブロックしたけど・・・」、6月14日の「Google Play に潜む Android マルウェア:いまも生き続ける悪意のアプリ5点を暴く」などがあります。また、Apple に関しても、6月4日に「Apple App Store の 2021年:160万件の危険/脆弱なアプリの配信が阻止された」という記事がありました。モバイル・デバイスをを守るための一番の方法は、インストールするアプリ数の最小限化のだろうと思います。

%d bloggers like this: