Google Play に５つの危険なドロッパー・アプリ：銀行口座や暗号通貨ウォレットが狙われている

These Dropper Apps On Play Store Targeting Over 200 Banking and Cryptocurrency Wallets

2022/10/28 TheHackerNews — 累計インストール数が 130,000 を超える、悪質なドロッパー型 Android アプリ５個が Google Play ストアで発見された。それらにより、SharkBot と Vultur といったバンキング・トロイの木馬が配布され、金融データの窃取などを含む、端末上での不正行為が生じていることも判明した。

オランダのモバイル・セキュリティ会社である ThreatFabric は、「これらのドロッパーは、公式ストアである Google Play に潜入する、悪意のアプリを絶え間なく進化させ続けている。この進化には、新しく導入されたポリシーに従ってファイル・マネージャーを装うものもあり、また、Web ブラウザを通じて悪意のペイロードをサイドロードし、制限を回避するものも含まれる」と、The Hacker News に対する声明で語っている。

これらのドロッパーのターゲットに含まれるのは、イタリア／英国／ドイツ／スペイン／ポーランド／オーストリア／米国／オーストラリア／フランス／オランダなどの銀行に対応する 231件のアプリや、暗号通貨ウォレットのアプリである。

Google Play などの公式ストアにおけるドロッパー・アプリは、無防備なユーザーに銀行業務用マルウェアを配布するための効率的な手法として、その普及の度合いを高めている。さらに、それらのキャンペーンの背後にいる脅威アクターたちは、Google が課す制限を回避するために、その手法を絶え間なく改良し続けている。

悪質なアプリのリストは以下の通りであり、そのうち４つは、いまもデジタル市場で入手可能な状態である。

• Codice Fiscale 2022 (com.iatalytaxcode.app)：10,000+ ダウンロード
• File Manager Small, Lite (com.paskevicss752.usurf)：0 ダウンロード
• My Finances Tracker (com.all.finance.plus)：1,000+ ダウンロード
• Recover Audio, Images & Videos (com.umac.recoverallfilepro)：100,000+ ダウンロード
• Zetter Authenticator (com.zetter.fastchecking)：10,000+ ダウンロード

2022年10月から始まった、イタリアの銀行利用者を狙う SharkBot の最新攻撃では、同国の税法 Codice Fiscale 2022 を理解するためのアプリを装う、ドロッパーが使用されている。

Google の Developer Program Policy では、REQUEST_INSTALL_PACKAGES 権限が任意のアプリ・パッケージのインストールに悪用されないよう、その使用を制限している。しかし、それらのドロッパーは一度起動すると、偽の Google Play ストアのアプリ一覧を開き、アップデートと称してマルウェアのダウンロードへと誘導することで、Google の制約をを回避している。

ブラウザにマルウェアの取得を任せることが、脅威アクターが採用する唯一の方法というわけではない。ThreatFabric が発見した別の事例では、ファイル・マネージャー・アプリになりすましが生じていた。このアプリは、Google の改訂ポリシーに基づき、REQUEST_INSTALL_PACKAGES パーミッションが許可されているカテゴリに分類されている。

また、宣伝しているとおりの機能を提供する、３つのドロッパーも発見された。これらは、ユーザーがアプリを開いた際に更新プログラムをインストールするよう促し、未知のソースからのアプリのインストールを許可する、秘密の機能も付属していた。その結果として、バンキング・クレデンシャル・スティーラーである Vultur が配布されていた。

このトロイの木馬の新しい亜種は、広範囲に及ぶ UI 要素とインタラクション・イベント (クリック／ジェスチャーなど) を記録するという点で注目されている。ThreatFabric の説明によると、このバンキング・アプリは FLAG_SECURE ウィンドウ・フラグを操作し、スクリーンショットでキャプチャされるのを回避している可能性があるとのことだ。

すでに Cyble の発表により、Drinik Android トロイの木馬のアップグレード版が、インドの 18の銀行を標的としていることが判明している。このバンキング・トロイの木馬は、同国の公式税務局のアプリになりすまし、アクセスサービス API を悪用して個人情報を吸い上げている。今回の ThreatFabric による調査結果の発表は、それに続くものとなる。

ThreatFabric は、「Google Play 上のドロッパーを介したマルウェア配布は、さまざまなレベルの脅威アクターにとって、最も手軽に被害者に到達し、規模を拡大できる方法である。電話による配信のような高度な戦術は、より多くのリソースを必要とし、拡張するのが難しい。しかし、公式ストアやサードパーティ・ストアにあるドロッパーは、脅威アクターたちの努力に合理性をもたらし、疑うことを知らないユーザーたちへの到達を可能にする」と指摘している。

このブログを始めたころは、モバイル関連の記事を取り上げませんでしたが、4月8日の「Google Play に粘着する SharkBot バンキング RAT は次世代型：テストが終わると蠢き出す」を訳してみて、その考えが変わりました。モバイル・ユーザーの多くが、バンキング・アプリを使っていると思いますし、暗号通貨ウォレットも利用するという人も多いでしょう。そう考えると、いまの Google Play や、Apple App Store のあり方に疑問を感じますし、問題を是正できないという構造的な問題も感じます。身を守るには、安易にアプリをインストールしないという、自衛策しかありませんね。