「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する

セキュリティ研究者らによると、重要なシステムアップデートを装った新しい強力なAndroidのマルウェアは、被害者のデバイスを完全に制御し、データを盗むことができるという。

このマルウェアは、AndroidデバイスのアプリストアであるGoogle Play以外の場所からインストールされた「System Update(システムアップデート)」という名のアプリにバンドルされていることが判明した。ユーザーがインストールするとこのアプリはその姿を隠し、被害者の端末から攻撃者のサーバーにデータを密かに流出させる。

悪意のあるアプリを発見したモバイルセキュリティ企業Zimperiumの研究者によると、被害者がこのアプリをインストールすると、マルウェアは端末を遠隔操作するために使用されている攻撃者のFirebaseサーバーと通信する仕組みになっているとのこと。

このスパイウェアはメッセージ、連絡先、デバイスの詳細情報、ブラウザのブックマークや検索履歴を盗み出し、マイクから通話や周囲の音を録音し、携帯電話のカメラを使って写真を撮影することができる。また、被害者の位置情報を追跡したり、文書ファイルを検索したり、デバイスのクリップボードからコピーされたデータを取得したりもするという。

このマルウェアは被害者から姿を隠し、画像全体ではなくサムネイルを攻撃者のサーバーにアップロードすることでネットワークデータの消費量を減らし、捕捉を逃れようとする。また、位置情報や写真などの最新のデータをキャプチャする。

ZimperiumのCEOであるShridhar Mittal(シュリダー・ミッタル)氏は、今回のマルウェアは標的型攻撃の一環である可能性が高いと述べている。

ミッタル氏は「これまで見た中で最も巧妙なマルウェアです」と語った。「このアプリの開発には多くの時間と労力が費やされていると思います。このようなアプリは他にもあると思われますが、できるだけ早く見つけられるように最善を尽くしています」とも。

Android端末で動作するシステムアップデートを装ったマルウェアのスクリーンショット。このマルウェアは、感染したデバイスを完全に制御できる(画像クレジット:Zimperium)

ユーザーを騙して悪意のあるアプリをインストールさせることは、被害者の端末を危険にさらすシンプルかつ効果的な方法だ。Android端末では、アプリストア以外からアプリをインストールしないよう警告されるのもそのためだ。しかし、古いデバイスの多くは最新のアプリが動作しないため、ユーザーは海賊版アプリストアの古いバージョンのアプリに頼らざるを得ない。

ミッタル氏は、Google Playからこの悪質アプリがインストールされることはなかったと確認している。Google(グーグル)の広報担当者は、同マルウェアがAndroidアプリストアに侵入するのを防ぐために同社がどのような措置を講じているかについてはコメントを控えた。Googleはこれまでにも、悪質なアプリフィルターをすり抜けてしまうことがあった。

関連記事
個人の位置情報をブローカーに売っていたX-Modeはアプリがストアから排除されてもユーザーの追跡を継続
Googleが2000万回ダウンロードされた子供向けAndroidアプリ3つを保護違反で削除

被害者のデバイスに広範囲に渡ってアクセスすることができるこの種のマルウェアは、さまざまな形態や名前があるが、主にすることは同じだ。インターネットの黎明期には、ウェブカムを使って被害者を盗撮するリモートアクセス型トロイの木馬(Remote Access Trojans、RAT)が存在した。現在では、子供用の監視アプリが、ユーザーの配偶者を監視するために転用されることが多く、ストーカーウェアや配偶者ウェアとして知られている。

2020年にTechCrunchは、表向きは子ども用の監視アプリであるKidsGuardストーカーウェアが、同様の「システムアップデート」を利用して被害者の端末を感染させたことを報じた。

関連記事:すべてを監視するストーカーウェア「KidsGuard」から個人データが大量に漏洩

研究者たちは、今回のマルウェアを作ったのが誰なのか、誰をターゲットにしているのかはわからないという。

「このところ、モバイル端末を狙ったRATが増えてきています。攻撃者たちは、モバイル機器にも同様に多くの情報があり、従来のエンドポイントよりもはるかに保護されていないことに気づいているのでしょう」とミッタル氏は述べている。

カテゴリー:セキュリティ
タグ:Androidマルウェア

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。