Apps for Sale: Cybercriminals Sell Android Hacks for Up to $20K a Pop
2023/04/11 DarkReading — サイバー犯罪者たちは、Google Play ストアのセキュリティを回避する手段を見つけ出し、既存の Android アプリをトロイの木馬化するツールを開発している。それらのツールの最高値は、サイバー犯罪市場で1件あたり $20,000 だという。Kaspersky の研究者たちは、4月10日のブログ記事で、最も人気のあるダークウェブ・フォーラムの9つを幅広く調査した結果を発表した。2019年と2023年の活動を追跡したところ、アプリ開発者アカウントへのアクセス/ボットネット/悪意の Android アプリなどを、時には一度に数千ドルで取引される市場が盛んであることが判明した。
Google Play に置かれている、既存の暗号通貨や出会い系アプリに注入するための、ソースコードなどの有用な商品だと、数千ドルで取引されているケースもあるようだ。Kaspersky の研究者である Georgy Kucherin は、Google のアプリ・セキュリティについて、「これはまるで、いたちごっこのようなものだ。攻撃者はセキュリティ・スキャナーを回避する手段を見つけ出し、セキュリティ・スキャナーの開発者は、それが二度と起こらないようにするためにパッチを導入する。そして、攻撃者は新たな脆弱性を見つける。そうやって、延々と続くのだ」と述べている。
Google Play ハッキングのマーケットプレイス
Apple や Google のアプリストアにアップロードされるソフトウェアは、厳格な審査を受けている。
しかし、Kaspersky の研究者たちは、「世の中に存在するあらゆるセキュリティ・ソリューションと同じように、100%効果があるわけではない。どのスキャナーにも脆弱性が存在し、マルウェアを Google Play にアップロードするた脅威アクターは、それらを悪用している」と述べている。
一般的に、アプリストアにマルウェアを忍び込ませる一般的な方法は2つある。
1つ目は、完全に無害なアプリをマーケットプレイスにアップロードすることだ。そして、そのアプリが承認された後か、あるいは、十分な数のユーザーを獲得した後に、ハッカーは悪意のコードを含むアップデートを送信する。
2つ目は、ハッカーが正規のアプリ開発者のアカウントに侵入し、既存のアプリにマルウェアをアップロードする手法だ。アプリ開発者のアカウントに対して、強力なパスワードポリシーと二要素認証が適用されていなければ、簡単にクラックされる可能性がある。場合によっては、認証情報の漏えいが、ハッカーによる仕事の大半を担ってしまい、企業システムの侵入に必要なログイン情報を提供することもある。
Google Play アカウントへの不正アクセスは、以下のダークウェブ掲載例に見られるように、わずか $60 程度で済むかもしれない。しかし、より便利なアカウント/ツール/サービスには、高値がついている。
たとえば、Android アプリに悪意のコードを組み込むために必要なローダーは、その強力さゆえに、サイバー犯罪のアンダーグラウンドで高額で取引されることがある。このリストでは、ローダーのレンタルや開発が、1件あたり最大 $5,000 で提供されていた。
経済的に余裕のある犯罪者であれば、ローダーのソースコードのようなプレミアム・パッケージに対して、経費を費やすかもしれない。
Kucherin は、「ローダーのソースコードを使えば、やりたいことが何でもできる。好きなようにコードを変更し、ニーズに合わせることができる。そして、ローダーのコード開発者は、元々のコードをアップデートし、セキュリティ対策を回避する新しい方法などをサポートすることさえある」と説明している。
このフルサービスの Google Play ハッキングスイートは、最大で $20,000 にもなる。
企業が Google Play の脅威から身を守るには
Google Play の脅威は、セキュリティが脆弱な組織にとって、特に懸念されるものとなる。Kucherin は、多くの企業ではいまだに BYOD (Bring-Your-Own-Device) の取り決めが緩く、セキュリティの境界が企業ネットワークを超えて、文字通り従業員の手にまで及んでいると指摘している。
彼は、「たとえば、従業員が悪意のアプリを携帯電話にインストールしたとする。このアプリがスティーラーであるなら、企業のEメールや機密データに、サイバー犯罪者はアクセスできる。そして、それをサーバにアップロードして、ダークウェブで販売できるようになる。あるいは、従業員がパスワードを携帯電話のメモアプリなどに保存している場合などには、そのメモを盗み出した攻撃者が、企業のインフラにアクセスすることも起こり得る」と指摘している。
このような事態を防ぐためには、2つの簡単な方法があると、Kucherin は述べている。
1つは、従業員にサイバー衛生原則を教えることで、信頼できないアプリはダウンロードしないようにすることだ。しかし、それだけでは十分ではないかもしれない。
もう1つできることは、高価ではあるが、従業員に別の携帯電話を持たせて、仕事のためだけに使わせることだ。その端末には Eメールや電話などの、必要かつ限定されたアプリのみを入れ、他のアプリは入れないようにする。
彼は、「仕事専用のデバイスを使うことは、より効果的だが、より高価だ。サイバー犯罪者も同様だが、より多くを得るためにはより多くを支払う必要がある」と指摘している。
この1年の間に、モバイル・デバイスを狙うためのマルウェア・キット的な、さまざまな悪意のツールが提供されてきました。その一方では、2023/04/03 の「リモート・ワーカーの 32%が未承認アプリを利用:BYOD の実態を調査する」にあるように、企業の環境においてもガバナンスが崩壊しているケースが多いようです。こうした問題が連鎖して、さまざまなサイバー犯罪を許しているという背景がありのでしょう。よろしければ、以下の関連記事も、ご参照ください。
2022/12/04:Google Play の最新マルアプリ情報
2022/10/28:Google Play に5つの危険なドロッパー
2022/10/20:Clicker マルウェア 16種類:Google Play
2022/09/26:Google Play/Apple Store のアドウェア
2022/09/04:Google Play に侵入/潜伏する SharkBot
IoT OT Security News 
You must be logged in to post a comment.