Google Play が複数の悪質アプリを削除:Joker などのマルウェアを 10万人以上に配布

Several apps on the Play Store used to spread Joker, Facestealer and Coper malware

2022/07/19 SecurityAffairs — Google Play ストアから数十の悪質なアプリが削除されたが、それらは Joker/Facestealer/Coper という3つのマルウェア・ファミリーを配布していたという。セキュリティ企業 Pradeo の研究者たちは、Androidマルウェア Joker を拡散している複数のアプリを発見した。Joker マルウェアは、システム・アプリとして偽装された悪意のコードであり、Google Playプロテクト・サービスの無効化/悪意のアプリのインストール/偽レビューの生成/不正広告の表示など、広範な悪意の操作を実行できるようにする。

このスパイウェアは、SMS メッセージ/連絡先リスト/デバイス情報を盗み出し、被害者にプレミアム・サービスの契約を結ばせることが可能だ。

さらに Pradeo の研究者たちは、Google Play上での Joker マルウェア感染と連携し、ドロッパーとして動作する4種類の新たな悪質アプリを発見した。Pradeo によると、これらのアプリは 100,000人以上のユーザーにインストールされているとのことだ。


また、ThreatLabz の研究者たちは、現在までに Play ストア上で、50 以上のユニークな Joker ダウンローダー・アプリを発見したと発表している。これらのアプリは、以下のカテゴリに属しており、合計で 300,000 回以上ダウンロードされている。

  • Communication (47.1%)
  • Health
  • Personalization (5.9%)
  • Photography
  • Tools (39.2%)

Zscaler が発表した分析結果によるとを「Joker に感染したアプリの大部分は Communication と Tools に占められる。ThreatLabz は、Joker マルウェアを含むアプリが、毎日アップロードされていることを発見し、敵対グループの活動レベルと持続性が示されている。Joker マルウェア・キャンペーンに関する最新の調査では、これまでの調査結果と同様に、類似した開発者の命名パターンが検出され、おなじみの手法が使用されている」とのことである。

ThreatLabz の専門家たちは、Play ストアにおいて、Facestealer/Coper マルウェアに感染した悪意のアプリも発見していり。

Facestealer スパイウェアは、2021年7月に Dr.Web の研究者により発見されたが、この脅威の背後にいる開発チームは、頻繁にコードを変更している。このマルウェアは、Facebook ユーザーのログイン名/パスワード/認証トークンを盗むために設計されている。

Coper マルウェアは、ヨーロッパ/オーストラリア/南米の銀行アプリを標的としたバンキング・トロイの木馬である。Google Play ストアでは、正規のアプリを装う偽装アプリが配布されている。

ThreatLabz のレポートには、「このアプリがダウンロードされると、SMS テキスト・メッセージの傍受と送信/メッセージ送信 のための USSD (Unstructured Supplementary Service Data) 要求/キーロギング/デバイス画面のロック・アンロック/オーバーアタックの実行/アンインストールの防止/C2サーバとのリモート接続などを介して、感染したデバイスを制御し、コマンドを実行するマルウェア Coper が動きだす。これらの活動の結果として、最終的に攻撃者は、被害者から金銭を盗むための情報とアクセス権を得ることになる」と記されている。

Facestealer と Coper のドロッパー・アプリは、Vanilla Camera (cam.vanilla.snapp)/Unicc QR Scanner (com.qrdscannerratedx) として、Play ストアにアップロードされた。

以下は、専門家が発表した推奨事項である。

  • 不要で信頼できない、精査されていないアプリを、モバイル・デバイスにインストールしない。
  • インストール数が多く、肯定的なレビューがある、アプリを探す。
  • 完全に信頼していないアプリに対しては、通知リスナーのアクセス許可と、エスカレートされたユーザー補助のアクセス許可を付与しない。
  • 可能であればメッセージング・アプリのインストールは避ける。また、細心の注意を払い、時間をかけて調査し、アプリのレビューを確認する。
  • Play ストアの悪意のあるアプリの被害者になった場合には、Play ストアのアプリ・サポート・オプションから直ちに Google に通知する。

このところ、Google Play の安全性に関する記事が多いです。そして、この記事は、Joker/Facestealer/Coper という3つのマルウェア・ファミリーを配布する、数十のアプリが削除されたと解説しています。そして、Joker ダウンローダーとして機能する悪質なアプリは、合計で 30万回もダウンロードされているようです。そして、その内訳のトップは Communication (47.1%) であり、このカテゴリに属するアプリが大量にダウンロードされているという傾向も見えてきます。その背景には、ユーザー情報の収集が容易だという理由があるのでしょう。よろしければ、4月7日の「メッセージング・アプリの選び方:利便性と安全性をビジネス目線で考察する」を、ご参照ください。メッセージング・アプリだけが危険という話ではありませんが、安全のためのヒントが見えてくるかもしれません。

%d bloggers like this: