バンキングマルウェアを含む90以上のAndroidアプリがPlayストアで発見され、550万インストールされている

Zscaler ThreatLabz のセキュリティ研究者は、過去数か月間に Google Play ストアから 550 万回以上ダウンロードされた 90 以上の Android 悪意のあるアプリを特定し、分析しました。

これらの悪意のあるアプリは、最近活動が急増している Anatsa バンキングトロイの木馬などのマルウェアやアドウェアを配信します。

クラウドセキュリティ会社によると、Anatsa (別名「Teabot」) は既知の Android バンキングマルウェアで、「PDF Reader & File Manager」と呼ばれる PDF リーダーアプリと QR コードという 2 つの偽アプリを通じて Google Play ストアで配布されていました。「QRリーダー＆ファイルマネージャー」というリーダーアプリ。 Zscaler の分析時点で、これら 2 つのアプリはすでに累計 70,000 インストールされていました。

Anatsa バンキングマルウェアはドロッパー技術を使用しており、最初のアプリケーションはインストール時にユーザーにはクリーンに見えます。

コマンドアンドコントロール (C2) サーバーから取得したリモートペイロードを利用して、さらなる悪意のある活動を実行します。

インストールされると、さまざまな曖昧な戦術を使用して、機密の銀行認証情報や金融情報を世界的な金融アプリケーションから盗み出します。

「これは、オーバーレイとアクセシビリティ技術の使用によってこれを実現し、データを傍受して慎重に収集できるようにします」と Zscaler の Himanshu Sharma 氏と Gajanana Khond 氏は述べています。書きましたブログ投稿で。

これを実現するために、Anatsa マルウェアはリフレクションを利用して、ロードされた Dalvik 実行可能ファイル (DEX) ファイルからコードを呼び出します。このファイルには、最終的に Android ランタイムによって実行されるコードが含まれています。

次の段階のペイロードがダウンロードされると、Anatsa はデバイス環境とデバイスタイプの一連のチェックを実行して、分析環境とマルウェアサンドボックスを見つけます。

検証が成功すると、リモートサーバーから第 3 段階および最終ペイロードのダウンロードに進みます。

Anatsa マルウェアは、圧縮されていない生のマニフェストデータを APK に挿入し、マニフェストファイル内の圧縮パラメータを破損して分析を妨げます。

APK がロードされると、マルウェアは SMS やアクセシビリティオプションを含むさまざまな権限を要求し、最終的な DEX ペイロードをアセットファイル内に隠します。

さらに、ペイロードは、コード内に埋め込まれた静的キーを使用して実行時に DEX ファイルを復号します。

マルウェアがデバイスへの感染に成功すると、C2 サーバーとの通信を開始し、被害者のデバイスをスキャンして銀行アプリがインストールされているかどうかを確認します。

ターゲットアプリが見つかると、マルウェアはその情報を C2 サーバーに送信します。

これに応じて、C2 サーバーはバンキングアプリに偽のログインページを提供します。

被害者が偽のログインページに騙されて銀行の資格情報を入力すると、その情報は C2 サーバーに送り返され、ハッカーはこれを利用して銀行アプリにログインし、お金を盗むことができます。

Anatsa の背後にある攻撃者は、主にヨーロッパの 650 以上の金融機関からのアプリケーションを標的にしてデータを窃取しました。しかし、Zscaler の報告によると、このマルウェアは米国と英国の銀行アプリも「積極的にターゲット」しており、攻撃者はターゲットをドイツ、スペイン、フィンランド、韓国、シンガポールにまで拡大しています。

「Anatsa バンキングトロイの木馬を展開する攻撃者が最近実施したキャンペーンは、Google Play ストアからこれらの悪意のあるアプリケーションをダウンロードした複数の地理的地域の Android ユーザーが直面するリスクを浮き彫りにしている」と研究者らは結論付けています。

Zscalerはマルウェアに感染した90以上のアプリの身元を明らかにしていないが、2つのAnatsaドロッパーアプリAndroidアプリはGoogle Playストアから削除された。

一方、ドロッパーアプリをダウンロードした場合は、Android デバイスからすぐに削除することをお勧めします。