Subscription Trojan Downloaded 600K Times From Google Play
2023/05/05 InfoSecurity — セキュリティ研究者たちが発見した新しいトロイの木馬型マルウェアは、Google Play から提供される 11種類の Android アプリ内に潜み、620,000 台以上のデバイスにインストールされているというものだ。Kaspersky により Fleckpe と命名された、このマルウェアは Jocker および Harly 系統に類似しており、2022年から活動を開始している。このマルウェアは、被害者を密かにプレミアム・サービスに加入させ、ユーザーが気づかない間にオペレーターに収益をもたらすように設計されている。
Fleckpe が仕込まれていた先は、写真編集アプリや、スマートフォンの壁紙パックなどである。この悪意のキャンペーンは、これまでに発見されたものよりも、さらに広範囲に被害が及ぶ可能性があると、Kaspersky は警告している。
これらのアプリが起動すると、高度に難読化されたネイティブ・ライブラリーをロードされるが、そこに含まれるものには、アプリのアセットからペイロードを解読/実行する悪意のドロッパーもある。このペイロードは、脅威アクターの C2 サーバに接続してデバイス情報を送信し、有料会員ページを受信する。
続いて、このトロイの木馬により、目に見えない Web ブラウザが開かれ、ユーザーに代わって購読が試みられ、必要に応じて確認コードなどが取得される。この間において、被害者は有料サービスに加入していることに気づかず、アプリの正規の機能を利用できるが、金銭的な負担を強いられることになる。
Kaspersky は、「このトロイの木馬は進化を続けている。最近のバージョンでは、ネイティブ・ライブラリーをアップグレードし、そこに購読コードの大半を移動させている。このペイロードは、通知を傍受して、Web ページを表示するものであり、ネイティブ・コードと定期購入に必要な Android コンポーネントの間の、橋渡しをするようになった」と説明している。
同社は、「それにより、解析が大幅に複雑化され、セキュリティ・ツールによるマルウェア検出を困難になっていた。このネイティブ・ライブラリーとは異なり、ペイロードの回避能力が脆弱だが、最新バージョンには、いくつかのコード難読化を追加されている」と述べている。
このような、サブスクリプション型トロイの木馬は、脅威アクターの収益源として人気を高め始めている。そして、残念なことに、Google Play ストアに登録されてしまうことが多発している。
Kaspersky は、「トロイの木馬が複雑化することにより、マーケット・プレイスに忍び込んだマルウェアは対策チェックを狡猾に回避し、長期間にわたって検出されないままになっている。被害を受けたユーザーは、不要なサブスクリプションを直ちに発見できないことが多く、ましてや、どのように発生したのかを知ることも不可能だ」と警告している。
Android ユーザーに被害をもたらす悪質なマルウェアが、次々に登場してきます。つい先日の、2023/04/15 にも「Goldoson という新しい Android マルウェア:Google Play 上の アプリ 60件に侵入」という記事がありました、よろしければ、Android で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.