カスペルスキー社の新たな調査は、ペーストビンサイトや制限された地下オンラインサイバー犯罪フォーラムの監視に基づいて、ダークウェブ上でサイバー犯罪者が提供している悪意のあるサービスの種類に焦点を当てています。
セキュリティ研究者たちは、Google Playの脅威とAndroidスマートフォンの感染が大きなビジネスになっていることを発見しました。例えば、Google Play開発者アカウントは、開発アプリの数やダウンロード数などのアカウントの特性に応じて、約60~200米ドルで購入できます。ボット開発やレンタルは1,000米ドルから20,000米ドルの範囲です。
ジャンプ先:
- Google Play にマルウェアが存在する可能性があるのはなぜですか?
- Google Play Loader とは何ですか?
- ファイル バインディングはどのようにしてマルウェアを難読化するのでしょうか?
- 感染率の上昇にかかるコストは国によって異なる
- あらゆる種類のサイバー犯罪に利用されるAndroidマルウェア
- このセキュリティ脅威から身を守る方法
Google Play にマルウェアが存在する可能性があるのはなぜですか?
Google Play では、Android アプリがユーザーに提供される前に、一定の基準を満たし、開発者ポリシーに準拠していることを確認するレビュー プロセスが実行され、有害または悪意のあるものでないことが保証されます。
しかし、サイバー犯罪者がプラットフォーム経由で悪意のあるコンテンツを拡散する方法は依然として存在します。最も一般的な手口の一つは、Google Playで無害なアプリを承認させ、その後、悪意のあるコンテンツやマルウェアを仕込むというものです。これにより、そのアプリのすべてのユーザー、さらには雇用主のネットワークが侵害される可能性があります。
ユーザーが個人のモバイル デバイスを職場に持ち込むことは珍しくありませんが、そこには企業のパスワードや、攻撃者が企業ネットワークに侵入するのに役立つ可能性のあるその他の情報が保存されている可能性があります。
参照: BYOD と個人用アプリがデータ侵害の原因となる可能性がある仕組みについて説明します。
さらに、Google Play 開発者アカウントを所有する企業は、コードの一部が変更され、情報窃盗などのマルウェアが追加されることにより、サプライ チェーン攻撃の標的になる可能性があります。
Google Play Loader とは何ですか?
Google Play Loader は、Google Play アプリに悪意のあるコードを挿入することを目的としたコードです。ダークウェブで最もよく見られるオファーの一つです。
挿入されたコードはGoogle Playで更新されます。被害者が悪意のあるアップデートをデバイスにダウンロードすると、最終的なペイロードが表示されるか、不明なアプリのインストールを許可するよう求める通知が表示され、外部ソースからインストールするよう促される可能性があります。
後者のシナリオでは、ユーザーが追加アプリのインストールに同意するまで通知が表示され続けます。インストール時に、アクセシビリティサービス、カメラ、マイクといった重要なデータへのアクセスを許可するよう求められます。これらの許可が与えられるまで、被害者は元の正規アプリを使用できない可能性があります。
販売者は通常、ローダーに使用できる正規アプリの種類とダウンロード数を明示しています。研究者によると、これらのアプリは多くの場合、暗号通貨トラッカー、金融アプリ、QRコードスキャナー、出会い系アプリなどです。攻撃者は、企業環境で使用されているドキュメントスキャンアプリなどの正規の人気アプリを侵害したり、WhatsAppやTelegramなどの有名アプリを模倣したアプリを使用したりしています。
ローダーのソースコードが販売中です。Kasperskyによると、ローダーのソースコードがオークションに出品されており、開始価格は1,500米ドル、入札額は200米ドル単位で、即時購入価格は7,000米ドルとのことです。
ファイル バインディングはどのようにしてマルウェアを難読化するのでしょうか?
ファイルバインディングとは、攻撃者が悪意のあるコードをあらゆるオペレーティングシステム上の正規のファイルと結合または統合する手法であり、セキュリティソリューションによるマルウェアの検出を困難にします。これらのファイルは、Google Playではなく、ソーシャルエンジニアリングや、クラックされたゲームやソフトウェアを配布するウェブサイトを通じて拡散されることがよくあります。
このようなアプリケーションの配布は Google Play で提供されるアプリケーションよりも難しいため、価格はローダーよりもはるかに安く、50 ~ 100 ドルの範囲です。
同様のサービスとして、マルウェア難読化サービスがあります。このサービスでは、プロバイダが特定のマルウェアコードを難読化し、セキュリティシステムを回避します。このサービスは、サブスクリプションまたはファイル単位で課金されます。ファイル1個あたりの料金は約30米ドル、50ファイルあたりのサブスクリプションは約440米ドルです。
感染率の上昇にかかるコストは国によって異なる
一部のサイバー犯罪者は、Google広告を通じてアプリのトラフィックを増加させることで感染率を高めるサービスを提供しています。この手法では、マルウェアはGoogle検索結果の一番上に表示され、何も知らない被害者にダウンロードされます。検索エンジン最適化(SEO)は正当な手段であり、ダウンロード数を増やすために利用されますが、同時に、様々な国で詐欺コンテンツを拡散させるためにも利用されます。感染率を高めるためのコストは国によって異なり、サイバー犯罪者にとってより魅力的な国とそうでない国があります。
これらの費用は約0.10米ドルから1米ドルの範囲で変動しますが、米国は約0.80米ドルで最も高く、カナダとオーストラリアもこれに続きます。これに続いてヨーロッパ諸国が約0.50米ドル、いわゆるTier 3諸国が約0.25米ドルとなっています。
あらゆる種類のサイバー犯罪に利用されるAndroidマルウェア
Android のマルウェアは、あらゆる種類の詐欺に利用される可能性があります。バンキング型トロイの木馬やサイバースパイ活動用のマルウェアなど、あらゆる種類のマルウェアがダークウェブで売買されています。
金融詐欺を狙う攻撃者は、クレジットカード情報などのデータを収集するために、できるだけ多くのAndroidデバイスを標的にする傾向があります。そのため、マルウェアをGoogle Playに公開し、可能な限り拡散させようとするのは理にかなっています。
標的型攻撃は、主にソーシャルエンジニアリングの手法を用いて標的のユーザーに悪意のあるアプリケーションをインストールさせるという点で異なります。標的型攻撃はメールやインスタントメッセージアプリを介して攻撃者にアプローチするため、マルウェアはより目立たないようにする必要があり、多くの場合、Google Playは利用されません。
このセキュリティ脅威から身を守る方法
- Google Play などのアプリケーション プラットフォーム上の開発者アカウントには多要素認証を使用します。
- ダーク ウェブを監視して、攻撃者が社内の開発者が構築したアプリケーションを侵害できる可能性のある資格情報やアクセス漏洩を検出します。
- 従業員に携帯電話の脅威について教育してください。たとえインストールリンクが会社から発信されているように見えても、非公式ストアからアプリケーションをダウンロードしないよう指導してください。インストールリンクが有効かつ合法かどうか確信が持てない場合は、IT部門に問い合わせてください。
- アプリケーションをインストールする際、ユーザーはアプリケーションが要求する権限を慎重に確認する必要があります。例えば、QRコードスキャナーはSMS送信の許可を求めてはいけません。
- 従業員に対し、モバイル デバイスの OS を最新の状態に保ち、パッチを適用するよう注意喚起します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
