セキュリティソフトウェア企業のESETは、マルウェア「ESMR」の新バージョンを発見し、467のアプリを標的として金融および暗号通貨アプリから認証情報を盗み出し、お金を奪っていたと報告しています。
また、このマルウェアがサイバー犯罪フォーラムで月額5000ドル(約63万円)でレンタルされていたことも明らかにされました。
この「ERMAC 2.0」は無害なアプリになりすまして被害者のデバイスに入り込む、いわゆる「トロイの木馬」型マルウェアです。なお、前バージョンの「ERMAC 1.0」は378のアプリを標的として月額3000ドルであり、新たな「2.0」は悪事を働ける幅が広がったことで値上げされたようです。
拡散する手口はGoogle Playストアではなく、偽のWebサイトを経由していたそうです。たとえばポーランドのユーザー向けには、欧州で有名なフードデリバリー「Bolt Food」になりすましたサイトが開設していた、という具合です。また、Webブラウザの偽アップデートサイトを通じても配布されていたとのことです。
ダウンロードされた詐欺アプリは、外部ストレージからの読み込みやテキストメッセージ読み取りなど43もの許可や、アクセシビリティサービスを有効にするようユーザーに要求。それらの権限を付与されるや、さっそく悪用が始まります。
その後、マルウェアは標的のAndroidデバイス内にあるアプリ一覧をC&Cサーバー(サイバー攻撃者がマルウェアに指令を出したり、盗み出した情報を受信する)に送信。その後、マルウェアは正規のアプリをオーバーレイ(アプリなどの上に画像やボタンを重ね合わせる処理)し、機密データや危険な権限にアクセスするための情報や操作を引き出すわけです。
このレポートでは、被害者を騙そうとするフィッシングサイトの一部も報告されているほか、日本のbitbank、インドのIDBI銀行、オーストラリアのGreater Bankなどの金融関連アプリが標的になっていると警告されています。
BleepingComputerによれば、Android 11と12ではアクセシビリティ関連サービスの悪用が制限されているため、それほど心配する必要はないそうです。それでもGoogle Playストア以外から、特に正規品ではなさそうなアプリのダウンロードは避けるよう警告されています。
月額60万円以上のレンタル代を払うとすれば、サイバー犯罪者たちも元を取ろうとして悪知恵の限りを尽くすはず。素性の怪しい、いわゆる「野良アプリ」には出来るだけ手を出さない方がよさそうです。
Source:BleepingComputer
via:PhoneArena