パスワードやテキストメッセージなどのユーザーデータを盗むよう設計された悪名高いAndroidバンキングトロージャンがGoogle Playで発見され、すでに数千回ダウンロードされた。
AnatsaやToddlerとしても知られるTeaBotバンキングトロージャンは、2021年5月に初めて発見され、テキストメッセージで送られた2要素認証コードを盗み出すことで欧州の銀行をターゲットにしている。オンライン詐欺の管理および防止ソリューションを提供するCleafyの新しいレポートによると、現在、このマルウェアは第2段階の悪意のあるペイロードを介して配布されるように進化しており、ロシア、香港、米国のユーザーを標的にしているとのことだ。
Cleafyによると、以前はTeaTV、VLC Media Player、DHLやUPSといった配送アプリなど、一般的なアプリを餌にしたSMSベースのフィッシングでマルウェアが配布されていたが、アプリ内の偽アップデートという方法でTeaBotを配布するためにGoogle Playの不正アプリが「ドロッパー」として機能していた、と同社の研究者は指摘する。ドロッパーは、正規のアプリに見えるが、実際には第2段階の悪意のあるペイロードを配信するアプリだ。
アプリ「QR Code & Barcode – Scanner」は削除されたが、発見されるまでに1万回超ダウンロードされた。しかし、このアプリは約束された機能を提供しているため、アプリのほぼすべてのレビューが肯定的な評価だ。
このアプリは正規のものに見えるが、すぐに2つ目のアプリ「QR Code Scanner: Add-On」のダウンロード許可を要求してくる。アドオンは、複数のTeaBotのサンプルを含んでいる。インストールされると、TeaBotはログイン情報、SMSメッセージ、2要素コードなどの機密情報を取得するために、デバイスの画面を表示し、制御する許可を求める。また、他の悪意のあるAndroidアプリと同様、Androidのアクセシビリティサービスを悪用して、マルウェアがキーボード入力を記録できるよう権限を要求する。
「公式Google Playストアで配布されるドロッパーアプリは、いくつかの許可を要求するだけで、悪意のあるアプリは後からダウンロードされるため正規のアプリに紛れてしまい、一般のウイルス対策ソリューションではほとんど検出できません」とCleafyは警告している。
TechCrunchはGoogleにコメントを求めたが回答は得られなかった。しかし、このアプリはGoogle Playから削除されたようだ。
Cleafyによると、TeaBotは現在、ホームバンキングアプリ、保険アプリ、暗号資産ウォレット、暗号資産取引所など400以上のアプリを標的にしていて、1年未満で500%以上増加している。
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)