Google PlayのCalculadora de Monedaアプリが悪意のあるケルベロストロイの木馬を隠していた
グーグルは、グーグルプレイにマルウェアを入れすぎることに対して多くの批判を受けており、これには非常に正当な理由があると言えるでしょう。 Appleと比較して、GoogleはPlayストアでのアプリの公開を許可する際にはるかに寛大なポリシーを採用しており、マルウェアがクラックをすり抜ける頻度は、チェックが十分に厳格でないことを示しています。そうは言っても、時には、ハッカーは悪意を秘密にしておくことに特に決心しています。たとえば、昨日、 アバストの研究者たちは、スペインのユーザーに対する最近の攻撃を隠すためにサイバー犯罪者が使用した巧妙なトリックについて話してくれました。
Table of Contents
ハッカーがGoogle Playで通貨コンバータを公開
3月、Cerberusバンキング型トロイの木馬のオペレーターがAndroidの公式ストアでアプリを公開したときに、この作戦は始まった。アプリケーションは「Calculadora de Moneda」(スペイン語で「Currency Calculator」)と呼ばれ、ハッカーはGoogleのセキュリティチェックを通過しても問題なく動作しました。
それは悪意のあるものは何もなかったからです。 Calculadora de Monedaの初期バージョンは完全に無害であり、通貨コンバーターとしても機能しました。目標は、ユーザーの信頼を獲得して獲得することでした。数日前のアバストによると、通貨換算アプリのダウンロード数は約1万回でした。
タイムラインは完全には明確ではありませんが、3月から7月の間のある時点で、操作の悪意のある段階が始まりました。ハッカーは、後でCerberusをダウンロードしてインストールする数行のコードを含むアップデートをプッシュしました。しかし、彼らはそれを引き起こすのを急いでいませんでした。コードは休止状態のままで、ほんの数日前にアクティブ化されました。
詐欺師は数日前にケルベロスのバンキング型トロイの木馬を配備しました
悪意のあるコードは、詐欺師のCommand and Controlサーバー(C&C)に連絡してAPKファイルをダウンロードし、実行すると、Cerberusバンキング型トロイの木馬がインストールされます。
ケルベロスは手ごわい脅威です。それは約1年ほど前から存在していたかもしれませんが、すでに名を馳せており、過去数ヶ月にわたるいくつかの攻撃は、そのオペレーターがスペイン語を話すユーザーに特に関心を持っていることを示唆しています。
アバストのレポートには、どの銀行アプリケーションを対象にしているのかは記載されていませんが、アプリのログインフォームの上にオーバーレイを描画し、入力された資格情報を引き出してパスワードを盗むことを説明しています。このトロイの木馬は、テキストメッセージを読み取ったり、Google Authenticatorなどのアプリから認証コードを盗んだりすることもできます。つまり、2要素認証をバイパスすることができます。
何人の人が命を落としたかを言うのは難しいですが、あなたが見ることができるように、彼らはすべて深刻な危険にさらされました。攻撃が終わったのは良いことです。
展開が停止しました…今のところ
Calculadora de Monedaアプリは、7月6日のある時点でCerberusのダウンロードを開始しましたが、その数時間後、配布が停止しました。 C&Cとマルウェアペイロードは非アクティブになり、通貨コンバーターアプリは通常どおり機能し続けました。
詐欺師たちがキャンペーンを短縮すると決定した理由はいくつかあります。彼らは、小さな攻撃が検出を回避するのに役立つことを望んでいるかもしれません。または、アバストの研究者がキャンペーンを傍受した後で彼らの計画が変更された可能性があります。これがより大きな攻撃に先行するテストであるという厳しい可能性も無視してはなりません。
いずれにせよ、ユーザーはリスクを認識している必要があり、ユーザーは自分自身を安全に保つために何をすべきかを知る必要があります。ありがたいことに、この特定のケースでは、Androidのデザインが役立ちます。
サードパーティのソースからのAPKファイルは危険な場合があります
アバストの研究者は調査結果をGoogleに伝えました。GooglePlayで「Calculadora de Moneda」というアプリを見つけることができますが、悪意のあるアプリケーションは削除する必要があります。ただし、この特定のケースでは、マルウェアが実際にPlayストアにアップロードされたのではないことに注意してください。この攻撃では、通貨コンバーターがドロッパーとして機能し、ハッカーのC&CからAPKペイロードをダウンロードしました。
バージョンに応じて、Androidは多数の警告を表示し、APKファイルをデバイスで実行する前に権限を要求します。 Googleのモバイルオペレーティングシステムの古いバージョンでは、一部のデフォルト設定を変更しない限り、APKファイルをインストールできません。
これは、Playストアにマルウェアが時々現れることはありますが、ほとんどの場合、Androidの脅威はサードパーティのWebサイトでホストされているAPKファイルを介して配布されるためです。 Androidの開発者は、そのようなファイルを実行するリスクがどれほど大きいかを知っており、警告を出そうとしています。聞くだけです。