セキュリティの研究者は、新たに発見されたAndroidのマルウェアに警鐘を鳴らしている。銀行アプリや暗号通貨のウォレットを標的としたものだ。
セキュリティ会社Cybereasonの研究者が最近発見し、EventBotと名付けたマルウェアは、Adobe FlashやMicrosoft Word for Androidといった、正規のAndroidアプリになりすましている。Androidに組み込まれているアクセシビリティ機能を悪用して、OSの深い部分にアクセスする。
無防備なユーザーや、被害者のデバイスにアクセスできる悪意を持った人間によってインストールされると、EventBotに感染した偽のアプリは、PayPal、Coinbase、CapitalOne、HSBCなど、200種以上のバンキング、および暗号通貨アプリのパスワードを密かに抽出する。さらに、テキストメッセージで送られる2段階認証のコードを傍受する。
被害者のパスワードと2段階認証のコードを手に入れたハッカーは、銀行口座、アプリ、ウォレットに侵入し、被害者の資産を盗むことができる。
「Eventbotを生み出した開発者は、このコードの開発に多くの時間とリソースを費やしてきました。その洗練度と能力には、非常に高いものがあります」と、Cybereasonの脅威研究の責任者、アッサフ・ダーン(Assaf Dahan)氏はTechCrunchに語った。
このマルウェアは、すべてのタップとキーのプッシュを密かに記録し、インストールされている他のアプリからの通知を読み取ることもできる。それによってハッカーは、被害者のデバイスで何が起こっているのかを覗き見ることが可能となる。
やがてこのマルウェアは、バンキングおよび暗号通貨アプリのパスワードを吸い出して、ハッカーのサーバーに送信する。
研究者は、EventBotは現在も開発が進行中であると言う。3月に発見されてから数週間にわたり、数日ごとに繰り返し更新され、悪意を持った新機能が追加されていることが確認されている。ある時点で、マルウェアの作者は、サーバーとの通信に使用する暗号化スキームを改善し、ユーザーのデバイスロックコードを取得可能な新機能を組み込んだ。さらに、このマルウェア自身が、支払い機能やシステム設定のように、被害者のデバイスの中でより高い権限を持つことも可能にしたと考えられる。
誰が開発に携わっているのかについては、まだ研究者も困惑するばかりだが、研究の結果は、このマルウェアがまったく新規なものであることを示している。
「これまでのところ、他のマルウェアからコードをコピー&ペーストしたり、再利用したような明確な証拠は確認されていません。ゼロから作られたようです」と、ダーン氏は述べている。
Androidにとって、マルウェアは珍しいものではなく、増加傾向にある。ハッカーや、マルウェアの運営者は、ますますモバイルユーザーをターゲットにしている。そうしたデバイスのオーナーの多くが、銀行アプリ、ソーシャルメディア、その他の機密性の高いサービスを、デバイスに入れているからだ。Googleも近年は、アプリストアに掲示するアプリをあらかじめ検査し、サードパーティ製のアプリを予防的にブロックすることでマルウェアを削減し、Androidのセキュリティを向上させてきた。しかし、必ずしも良い結果だけを招いているとは言えない。それでも多くの悪意のあるアプリが、Googleの検査をすり抜けているからだ。
Cybereasonによると、現時点では、Androidのアプリストア上ではEventBotは検出されておらず、大々的に利用されているような状態ではないという。被害は、今のところ潜在的なものに限られている状態だ。
とはいえ研究者は、ユーザーは、サードパーティのサイトやストアなどにある信頼できないアプリの利用を避けるべきだとしている。そうしたサイトの多くは、マルウェアの検査をしていないからだ。
関連記事:アドウェア感染した多数のAndroidアプリが数百万回ダウンロードされる
[原文へ]
(翻訳:Fumihiko Shibata)