Researcher Finds Trojanized Apps with 2 Million Downloads on Google Play
2024/11/12 SecurityOnline — Google Play 上の悪意のアプリの危険な動向を、Dr.Web の研究チームが新しいレポートで報告している。このレポートによると、Android.FakeApp ファミリーなどのトロイの木馬化されたアプリを、無意識のうちに 200 万人以上のユーザーが、ダウンロードしていたことが明らかにされている。
Dr.Web は、「悪意の DNS サーバからコンフィグレーションを取得するために、改変された dnsjava ライブラリを使用するという点で、Android.FakeApp.1669 は際立った事例であり、その他の脅威とは一線を画している。つまり、特定のモバイル・インターネット・プロバイダーに接続している場合にのみ、対象の Web サイトを読み込むことが可能となる」と述べている。
インストールされるアプリは、便利なツールやゲームに偽装されたものであり、無害に見えるものである。しかし、それらが起動すると、Command and Control (C2) サーバに DNS リクエストを送信し、その後の悪意のアクションを実行するためのコマンドを受け取る。
このキャンペーンで配布されるアプリは、特定のインターネット・プロバイダーをターゲットにするように設計されており、他のプロバイダーに接続されても、トロイの木馬は休眠状態を続ける。Dr.Web は、「標的のモバイル・プロバイダー経由での接続が行われない限り、このトロイの木馬は、いかなる形でも姿を現さない。したがって、デバイス上での検出は回避され、ユーザーに対する警告も発せられない」と指摘している。
100 万回以上のダウンロード数を誇る “Split it: Checks and Tips” や、50 万回を超えるダウンロード数の “FlashPage parser” などの人気アプリに、これらのマルウェアは潜んでいる。
Android.FakeApp.1669 はアクティブになると、本来のアプリ機能にはない、不要な Web アドレスの読み込みと、Web サイトへのユーザーの誘導を行うようになる。Dr.Web は、「このトロイの木馬は Web アプリに変身し、読み込んだ Web サイトのコンテンツを表示する。つまり、Google Play のアプリ・ページで約束される機能は実行されない」と強調している。
幸いなことに、Dr.Web のモバイル・セキュリティ・ツールにより、既知の Android.FakeApp.1669 亜種の検出と削除が可能となっている。その一方で、ユーザーに対して推奨されるのは、Google Play などのストアから、アプリをダウンロードする際に注意を払うことである。そして、信頼できるセキュリティ・ソリューションをインストールして、自身のデバイスを保護する必要がある。
| App name | Number of downloads |
|---|---|
| Split it: Checks and Tips | 1,000,000+ |
| FlashPage parser | 500,000+ |
| BeYummy – your cookbook | 100,000+ |
| Memogen | 100,000+ |
| Display Moving Message | 100,000+ |
| WordCount | 100,000+ |
| Goal Achievement Planner | 100,000+ |
| DualText Compare | 100,000+ |
| Travel Memo | 100,000+ (is deleted) |
| DessertDreams Recipes | 50,000+ |
| Score Time | 10,000+ |
今回のキャンペーンは、特定のモバイル・インターネット・プロバイダーに接続するユーザーを狙うという、ちょっと特殊なものとなっています。定期的に報道される Google Play の惨状ですが、どれもこれも、ダウンロード数の多さに驚きます。モバイル・アプリには、十分な注意が必要ですね。よろしければ、Google Play で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.