Facebook データ窃盗マルウェアが Google Play ストアで見つかる

Android ユーザーがまた危険に: Google Play のダウンローダーが Facebook のパスワードを盗むマルウェアを拡散

Android ウィルスの新しい亜種 が Google Play ストアで見つかりました。ソーシャル・エンジニアリングの手法を用いてユーザーを騙し、悪意のあるアプリをダウンロードさせます。マルウェアは英語およびベトナム語のユーザーをターゲットにしており、その Facebook のログイン情報を盗もうとします。

セキュリティ・ファームの Avast は、例えばボイス・レコーダーやチェス・ゲームのようなエンターテインメント系およびライフスタイル系のアプリの振りをする複数のダウンローダーを発見しました。インストールされると、これらのアプリは他の悪意のあるアクティビティを行う更に有害なアプリのインストールもトリガします。

幸いなことに、これらのアプリは Google Play から除去されており、開発者のアカウントはブロックされました。しかし、この Android マルウェアの攻撃を受けた人がどれほどいるかは分かっていません。リサーチャーは有害なアプリがベトナム地域で人気のあるアプリの名前を使用していることから、この Android マルウェアの起源がベトナムではないかとみています。

有害なアプリは管理者権限を求めてくる

有害なアプリはまんまと Google のセキュリティを迂回しましたが 、それはストアにアップロードしたダウンローダー自体には悪意のある機能がなかったためです。これらのダウンローダーは有害なコンポーネントをダウンロードし、Android スマホにインストールされるとすぐに違法なタスクを実行するようにデザインされています。

怪しいアクティビティのうち主なものは、この悪意のあるアプリが管理者権限を要求するというところにあります。しかし、ユーザーがその権限を与えないと、アプリはニセの Google Play サービス・エラーを表示するようになります。詐欺師は一見本物に見えるダイアログ・ウィンドウをデザインし、ユーザーが何かアプリを開こうとするとこれが表示されます。メッセージは以下のとおりです:

Service error!
Google Play services has been
disabled by the system or a
third party.
Please enable to avoid unwanted
bugs!

ポップアップについている「Activate (有効化する)」ボタンをクリックすると、ユーザーは「Activate device administrator (デバイスの管理者権限を有効化する)」ように求められますが、これは悪意のあるアプリに端末への完全なアクセスを許可することを意味します。必要なアプリにアクセスできないように出されるクラッシュ・アラートは邪魔になります。そこで、遅かれ早かれユーザーがマルウェアに望むものを与えてしまうとしても不思議ではありません。

Android マルウェアは位置情報と Facebook の信用情報を盗む

Android ウィルスが感染したデバイスへのアクセス権限を手に入れると、マルウェアの C&C サーバーに成功したタスクから得た情報を知らせます。すると、端末 ID や位置情報 (IP アドレス)、言語、携帯のオペレータ、およびディスプレイのパラメータをチェックして送信します。

さらに、有害なアプリはクリック詐欺 行為も実行します。Avast のリサーチにより、アプリには数々の広告プラットフォームが含まれていることが分かります。しかし、それらはただ広告や動画広告を配布するだけでなく、ユーザーを騙してそれらをクリックさせたり被害者の代わりにクリックさせたりするのです。

しかし、最も重要なタスクは Facebook の信用情報を盗むことです。マルウェアは引き続き Google Play のサービス通知の振りをして、ユーザーの Facebook アカウントに問題があると警告を発したり、もう一度ログインするよう求めてきたりします。そこで、ユーザーがそれとは気づかずに、犯罪者にログインの詳細やパスワードを渡すことになるのです。

詐欺師がニセの Facebook ページを使用することはありません。被害者は実際には本物の Facebook のログイン・ページを見ているのです。しかし、被害者が悪意のあるアプ経由でそのページにアクセスすると、そのアプリにより正式なページに JavaScript コードが挿入されるのです。すると、ユーザーが信用情報を入力した時に、危険なアプリが簡単にそれらを収集する、ということです。

Facebook のアカウントが広告目的で販売され、使用されている

犯罪者があなたのアカウントにアクセスしたら何が起きるのでしょうか？彼らは友達追加や確認、コメント、コンテンツにいいね！を付けたりシェアしたりと、通常のユーザーのアクティビティを行います。このようなアクティビティのポイントとなるのは、これらのアカウントが、ユーザー数を増やしたい、あるいは売上を増やしたいビジネスに売却されているということにあります。

感染した実際の人びとのアカウントは、それらがニセモノとしてフラグを立てられてソーシャル・メディア・ネットワークに出入り禁止になることがないため、貴重なのです 。そこで、この Android マルウェアの攻撃を受けた場合は、マルウェアをスマホから駆除したら直ちに、全てのパスワード (Facebook のみでなく) も変更してください。