Necro Trojan Infects Google Play Apps With Millions of Downloads
2024/09/23 SecurityWeek — マルウェア対策ベンダーの Kaspersky の報告で判明したのは、公式 Google Play ストアにおいて、合計約1,100 万回もダウンロードされた2つのアプリが、トロイの木馬 Necro に感染していることだ。2019 年の時点でマルチステージ・ローダー Necro は、Google Play で1億回以上ダウンロードされた Phone PDF 作成アプリ CamScanner に感染し、その後に発見されている。
そして、現時点で出回っているマルウェアの新しい亜種は、Google Play のアプリと非公式ソースから入手できる、人気のアプリとゲームの修正版を介して配布されている。
Google Play テレメトリによると、これらのアプリの1つである Wuta Camera は 1,000 万回以上もダウンロードされている。また、別のアプリである Max Browser は、公式アプリ・ストアから 100 万回以上もダウンロードされている。Kaspersky によると、両アプリケーションの感染バージョンは、その後に Google Play から削除されている。
Kaspersky のドキュメントによると、このマルウェアが探し出すものには、Spotify/WhatsApp/Minecraft/Stumble Guys/Car Parking Multiplayer/Melon Sandbox などの人気ゲーム用の、隠された非公式 MOD もあるという。
同社によると、さまざまなソースから配布されたアプリ内に Necro が存在する理由は、広告の統合において信頼できないソリューションを、アプリ開発者が用いるところにある。
Spotify の感染した MOD には、複数の広告モジュールを統合するための SDK が含まれていた。さらに、その SDK に取り込まれたモジュールにより、デバイスとアプリの情報が C2 サーバに送信され、画像ファイルに埋め込まれたペイロードが受信されていた。
ただし、WhatsApp MOD に挿入されたローダーは別種のものであり、C2 サーバとして Google の Firebase Remote Config クラウド・サービスを使用していたが、最終的には同じペイロードの実行につながったという。
どちらのケースにおいても、被害者のデバイスは、Necro ファミリーに関連する特徴を取り込んだトロイの木馬に感染していた。具体的に言うと、コードと機能とペイロード構造が類似しており、既知の Necro C2 サーバを使用していたという。
Kaspersky は、「当社の専門家たちが発見した Necro の亜種は、感染済のスマフォにモジュールをダウンロードして、目に見えないウィンドウ上の広告をクリックさせていた。さらに、実行ファイルのダウンロードや、サードパーティ・アプリのインストールを達成し、目に見えない WebView ウィンドウ上で任意のリンクを開くことで、悪意の JavaScript コードを実行していた」と付け加えている。
さらに、このマルウェアは、ユーザーを有料サービスに加入させるという機能を持ち、被害者のデバイスをプロキシとして悪用することで、インターネット・トラフィックをリダイレクトしていた。
Kaspersky によると、8月26日〜9月15日において、このトロイの木馬は、ロシア/ブラジル/ベトナム/エクアドル/メキシコなどの、数万人のユーザーを標的にしていたことが確認されている。
SecurityWeek は Google に対して電子メールで、Necro が Google Play に紛れ込んだ件について声明を求めており、返信が届き次第、この記事を更新する予定である。
このところ、Google Play に関連するマルウェア情報が少ないと思っていたら、Necro というトロイの木馬が出回っているようです。Google Play が信頼できないとなると、どうすればよいのでしょうか? ひとつ考えられるのは、可能な限りアプリをインストールしないという対策です。個人的には、モバイルの利用は最小限にという方針でいます。よろしければ、2024/05/28 の「Google Play の悪意の Android アプリ 90種類:550 万以上もインストールされる」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.