Fleckpe モバイル マルウェアが写真編集アプリに隠れる

Fleckpe と呼ばれる新たに発見されたマルウェアが Google Play ストアで発見され、2022 年以降の累計ダウンロード数は 62 万回を超えています。

セキュリティ研究者は、正規の写真編集アプリ、カメラ、スマートフォンの壁紙パックのように見えて、実際にはマルウェアを隠していた 11 個のアプリをアプリ ストアで特定しました。アプリはストアから削除されました。マルウェアは主にタイのユーザーを標的にしていますが、テレメトリ データでは、被害者がポーランド、マレーシア、インドネシア、シンガポールにあることが示されています。

アプリは疑いを避けるために約束された機能を提供しますが、アプリ資産からペイロードを実行する悪意のあるドロッパーが含まれています。ペイロードはリモート サーバーに接続し、侵害されたデバイスに関する情報 (Mobile Country Code や Mobile Network Code など) を送信します。サーバーは、有料のサブスクリプション ページで応答します。マルウェアは、このページを目に見えないブラウザー ウィンドウで開き、ユーザーに代わってサブスクリプションを試みます。マルウェアの最近のバージョンでは、セキュリティ ツールによる検出を回避するために、ほとんどの悪意のある機能がネイティブ ライブラリに移動されています。

Fleckpe は、Google Play ストアで見つかった最初のサブスクリプション マルウェアではありません。 Joker や Harly などの他のフリースウェア ファミリも発見されており、感染したデバイスを不要なプレミアム サービスに登録し、不正請求を行っています。サブスクリプション マルウェアは、スパイウェアや金融トロイの木馬ほど危険ではありませんが、それでも不正な請求が発生したり、機密情報の収集に使用されたり、悪意のあるマルウェアのエントリ ポイントとして機能したりする可能性があります。

これらの調査結果は、攻撃者がアプリを公式のアプリ マーケットプレイスに忍び込ませる新しい方法を継続的に発見していることを強調しており、ユーザーはアプリをダウンロードして権限を付与する際に注意を払う必要があります。

Android アプリでマルウェアを隠すために攻撃者が使用できる方法にはどのようなものがありますか?

攻撃者はさまざまな方法を使用して Android アプリにマルウェアを隠すことができます。

• 難読化: マルウェアの作成者は、難読化技術を使用してアプリ内の悪意のあるコードを隠すことができます。これには、関数の名前変更、変数名の変更、および暗号化を使用してコードを分析しにくくすることが含まれます。
• ソーシャル エンジニアリング: マルウェアの作成者は、ソーシャル エンジニアリングの手法を使用して、ユーザーをだまして悪意のあるアプリをダウンロードおよびインストールさせることができます。これには、ユーザーの信頼を得るために、誤解を招くようなアプリの説明やアイコンを使用したり、正当なアプリのふりをしたりして、正当に見える偽のアプリを作成することが含まれます。
• 再パッケージ化: マルウェアの作成者は、正当なアプリを悪意のあるコードで再パッケージ化し、サードパーティのアプリ ストアやその他のチャネルを通じて配布できます。これにより、アプリが正規のものに見えるため、ユーザーがマルウェアを検出するのが難しくなる可能性があります。
• アプリの脆弱性の悪用: マルウェアの作成者は、正当なアプリの脆弱性を悪用して、悪意のあるコードを挿入したり、デバイスで昇格された権限を取得したりできます。これにより、マルウェアは検出を回避し、さまざまな悪意のあるアクションを実行できます。
• ルートキットの使用: マルウェアの作成者は、ルートキットを使用して、感染したデバイスにマルウェアを隠すことができます。ルートキットは、デバイス上で実行されているオペレーティング システムやその他のソフトウェアから自身を隠すように設計された一種のマルウェアです。これにより、マルウェアの検出と削除が非常に難しくなる可能性があります。