Google Play の悪意の Android アプリ 90種類：550 万以上もインストールされる

Over 90 malicious Android apps with 5.5M installs found on Google Play

2024/05/28 BleepingComputer — 90種類以上の悪意の Android アプリが、Google Play から 55,000,000 回以上もインストールされ、マルウェアやアドウェアを配信していることが判明した。バンキング型トロイの木馬 Anatsa (別名：Teabot) は、ヨーロッパ／米国／英国／アジアなどの金融機関の、650 種類以上のアプリケーションを標的としている。このトロイの木馬は、人々のｅバンキングの認証情報を盗み出し、不正な取引を実行しようとするものだ。

2024年2月に Threat Fabric は、2023年末以降において Anatsa が、生産性ソフトウェア・カテゴリの各種のおとりアプリを使用し、Google Play 経由で少なくとも 150,000 件の感染を達成したと報告している。

また、5月28日に Zscaler が公開したレポートによると、Anatsa が Android の公式アプリ・ストアで復活し、現時点では２つのおとりアプリ ( PDF Reader & File Manager／QR Reader & File Manager) を介して配布されているという。

Zscaler が調査をした時点で、この２つのアプリは既に 70,000 件もインストールされている。つまり、悪意のドロッパー・アプリが、Google の審査プロセスをすり抜ける危険性が実証されたことになる。

Anatsa ドロッパー・アプリは、以下の４つのステップを含む、多段階のペイロード・ローディング・メカニズムを用いて検知を回避している：

• C2 サーバからコンフィグレーションと必須文字列を取得する。
• 悪意のドロッパー・コードを含む DEX ファイルがダウンロードされ、デバイス上でアクティベートされる。
• Anatsa ペイロードの URL を取り込んだ、設定ファイルがダウンロードされる。
• DEX ファイルがマルウェアのペイロード (APK) をフェッチしてインストールし、感染を完了させる。

それらのマルウェアが、サンドボックスやエミュレート環境で実行されないようにするために、DEX ファイルはアンチ解析チェックも実行する。

新たに感染したデバイス上で Anatsa が稼働すると、ボットの設定とアプリのスキャン結果をアップロードし、被害者の位置情報とプロファイルに一致するインジェクションがダウンロードされる。

その他の Google Play の脅威

冒頭でも述べたように、Zscaler の報告によると、過去数ヶ月の間に Google Play 上で 90種類以上の悪意のアプリが発見されており、それらは合計で 5,500,000 回もインストールされている。

悪意のアプリの大半は、ツール／パーソナライズ・アプリ／写真ユーティリティ／生産性／ヘルス＆フィットネスなどのアプリを装っていた。この分野で活発なマルウェア・ファミリーは、Joker／Facestealer／Anatsa／Coper などの各種アドウェアである。

Anatsa と Coper は、Google Play からダウンロードされた悪意のアプリ全体の３%に過ぎない。しかし、他のアプリよりも遥かに危険であり、デバイス上での詐欺や、機密情報を窃取などを可能にする。

Google Play から新しいアプリをダウンロード／インストールする際には、要求されたアクセス許可を確認し、アクセシビリティ・サービス／SMS／連絡先リストなどの、危険性の高いアクティビティに関連するものは拒否する必要がある。

研究者たちは、90種類以上とされるアプリの名前と、Google に対する削除の要求については、明らかにしていない。ただし、現時点において、Zscaler が発見した２つの Anatsa ドロッパー・アプリは、Google Play から削除されている。

Google Play のマルアプリについては、誰もが慣れてしまい、感覚も麻痺してきたのかと思いますが、Zscaler の調査が目を覚まさせてくれたような気がします。それにしても、大量の悪意のアプリが見つかったものです。個人的な話で恐縮ですが、Android アプリ追加しない歴が、そろそろ３年になろうとしています。意地になっているわけではありませんが、今後も、こんな感じのスマフォ・ユーザーを続けそうな気がします。よろしければ、Google Play で検索も、ご利用ください。