Google Play Store 上の悪質アプリ 28種:マルウェアによる不正料金の請求など

These 28+ Android Apps with 10 Million Downloads from the Play Store Contain Malware

2022/07/27 TheHackerNews — Google Play Store においてアドウェアを配布する、累積ダウンロード数が 1000万近くに達する 30種もの悪質な Android アプリが発見された。火曜日の Dr.Web のポストには、「いずれのアドウェアも、画像編集ソフト/仮想キーボード/システムツール/ユーティリティ/通話アプリ/壁紙収集アプリなど、様々なプログラムに組み込まれていた」と記されている。

無害なアプリを装いながら、他のアプリ上へのウィンドウ表示を求めたり、侵入型の広告をバックグラウンドで動作させたりすることが、その主たる目的である。

不正アプリを発見した被害者が、アンインストールするのを困難にするために、一連のアドウェア型トロイの木馬は、ホーム画面からのアイコンの隠蔽や、アイコンの置き換え (例:SIM Toolkit) などを行う。

“Water Reminder- Tracker & Reminder” と “Yoga- For Beginner to Advanced” という、2つのアプリのケースで見られるように、これらのアプリの中には、申告した機能を提供するものもある。しかし、これらのアプリは、WebView で様々な Web サイトを密かに読み込み、バナーなどをクリックするユーザーの行動をシミュレートしている。

また、ランチャー/カメラ/絵文字ステッカーなどのアプリを装いながら、Joker マルウェアを配布する不正アプリ群も発見されている。それらをインストールすると、ユーザーの知らないうちに、同意なしに有料モバイルサービスに加入させられるとのことだ。


3つ目の不正アプリは、画像編集ソフトを装いながら、Facebook アカウントへの侵入を試みるものだ。Dr.Web の研究者たちは、「これらのアプリは、起動時に被害者のアカウントへのログインを求め、その後に、本物の Facebook 認証ページを読み込む。次に、認証データをハイジャックし、悪意のあるアクターに送信する」と述べている。

  • Photo Editor: Beauty Filter (gb.artfilter.tenvarnist)
  • Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo)
  • Photo Editor: Art Filters (gb.painnt.moonlightingnine)
  • Photo Editor – Design Maker (gb.twentynine.redaktoridea)
  • Photo Editor & Background Eraser (de.photoground.twentysixshot)
  • Photo & Exif Editor (de.xnano.photoexifeditornine)
  • Photo Editor – Filters Effects (de.hitopgop.sixtyeightgx)
  • Photo Filters & Effects (de.sixtyonecollice.cameraroll)
  • Photo Editor : Blur Image (de.instgang.fiftyggfife)
  • Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor)
  • Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard)
  • Neon Theme Keyboard (com.neonthemekeyboard.app)
  • Neon Theme – Android Keyboard (com.androidneonkeyboard.app)
  • Cashe Cleaner (com.cachecleanereasytool.app)
  • Fancy Charging (com.fancyanimatedbattery.app)
  • FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app)
  • Call Skins – Caller Themes (com.rockskinthemes.app)
  • Funny Caller (com.funnycallercustomtheme.app)
  • CallMe Phone Themes (com.callercallwallpaper.app)
  • InCall: Contact Background (com.mycallcustomcallscrean.app)
  • MyCall – Call Personalization (com.mycallcallpersonalization.app)
  • Caller Theme (com.caller.theme.slow)
  • Caller Theme (com.callertheme.firstref)
  • Funny Wallpapers – Live Screen (com.funnywallpapaerslive.app)
  • 4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc)
  • NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app)
  • Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers)
  • Notes – reminders and lists (com.notesreminderslists.app)

また、Chat Online と呼ばれる不正な通信アプリも発見された。オンライン・デート・サービスに登録するという口実でユーザーを騙し、携帯電話番号を提供させるものである。この不正プログラムの別のバージョンでは、一見すると本物のように見える会話が開始されるが、チャットを続けるためにプレミアムアクセスの支払いをユーザーに促し、不正な請求を発生させるというものだ。

これらのアプリは削除されているが、モバイル端末向けの不正プログラムには回復力があることが証明されており、犯罪者たちは Google の保護機能を回避するために、新しい方法を常に見つけ出しているとされる。

ユーザーは、Google Play などからアプリをダウンロードする際にし、対象となるアプリに広範な権限を与えないようにすることが推奨される。Google Play Protect を有効にし、アプリのレビューや評価を精査することも、端末をマルウェアから保護する方法の一つである。

文中の「モバイル端末向けの不正プログラムには回復力があることが証明されている」という部分が気になります。4月8日の「Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す」には、「SharkBot は、時間差のトリックを用い、また、サンドボックス内での実行の有無を検出していた。さらに、Playアプリの審査プロセスが完了した後に、外部の Command and Control (C2) サーバから、不正な機能の大半をダウンロードするモジュールを保持していた」と記されています。C2 サーバからの指示により、ステータスを変化させるだけでは、回復力があるとは言い切れませんが、さまざまなテクニックを用いて、生きながらえることが可能なのかもしれません。よろしければ、Google Play で検索も、ご利用ください。

%d bloggers like this: