Androidを狙う新たなマルウェア、通信を傍受して金融機関に不正アクセス
先日、またしてもスマートフォン用OSのAndroidを狙った新たなマルウェア(不正な動作を行い利用者に被害をもたらすことを目的とした悪意のあるソフトウェア)についての警告が発せられた。危険な新しいスパイウェアに感染するデバイスが増えているという。
このマルウェアは最も悪質な種類のもので、通話を傍受したり、スマートフォンの画面を攻撃者に送信したり、ユーザーが入力した文字を読み取ったり、送信したり、削除したりする。さらに携帯電話に内蔵されたカメラを制御し、写真も撮影する。
モバイルセキュリティ企業のZimperium(ジンペリウム)は、「当社のzLabsチームが『FakeCall』という名前でよく知られているマルウェアの新たな亜種を積極的に追跡中」と警告している。
このマルウェアの前のバージョンは、コンピューターセキュリティ企業のKaspersky(カスペルスキー)やThreatFabric(スレットファブリック)によって報告されているが、現在はさらに強化されている。
しかし、攻撃に特化したその核となる部分は以前と変わらない。FakeCallは着信および発信した通話を傍受し、被害者は騙されて攻撃者が管理する不正な番号に電話を掛けるように仕向けられる。発見されにくいように基本となるコードを改変し、新たな機能を付加する。それらの中にはまだ作動していないものも含まれる。
まず大事なのは、ユーザーが悪意あるアプリをダウンロードすることによって、マルウェアが携帯電話に組み込まれるということだ。「このアプリは、ユーザーにデフォルトの電話アプリとして設定するように促す。デフォルトの電話アプリとして設定されると、このアプリは発信・着信されるすべての通話を管理する能力を手に入れる」
そこで次のことを明確にしておこう。新たにインストールしたアプリを、決してデフォルトの通話アプリとして設定するように許可してはいけない。Andoridのデフォルトの電話アプリを変更したい理由もあるかもしれないが、しかしそういう場合でも、このようなアプリではなく、Google Play ストアから信頼できる開発者の十分に審査されたアプリのみをダウンロードするべきだ。
そして次に留意すべきことは、FakeCallのような悪意あるアプリは、すべて「サイドローディング」されるということ。つまり、公式のGoogle Play ストアからではなく、デバイスに直接ダウンロードされたり、サードパーティのアプリストアからダウンロードされるということだ。このようなアプリは、ソーシャルメディアの投稿やメッセージ、メールなどでインストールするように誘われることが多いが、絶対に誘いに乗ってはいけない。
有害アプリの目的は「金銭を盗む」こと
Zimperiumが説明するように、「デフォルトの電話アプリという立場を不当に利用して、このアプリはユーザーが掛けようとした電話番号を変更し、悪意のある別の番号に置き換えることができる。ユーザーを欺いて不正な通話をさせることができるのだ。また、このマルウェアは発信・着信した通話を傍受して制御し、秘密裏に無許可の接続を行うこともできる。この場合、アプリを削除したりデバイスを再起動するまで、ユーザーは気づかないおそれがある」
このスパイウェアの意図は、ユーザーが苦労して稼いだ金銭を盗むことだ。デバイスに潜んでユーザーが大手金融機関に連絡する時を待ち構えている。ユーザーが取引のある金融機関に連絡しようとすると、「このマルウェアは攻撃者によって管理された不正な番号に電話を転送する。悪意のあるアプリはユーザーを騙し、正当なAndroidの電話アプリのUI(ユーザーインターフェース)に見せかけた偽のUIを画面に映し出して本物の金融機関の番号を表示する。このマルウェアが表示する偽のUIは、実際の金融機関の操作画面を模倣しているため、被害者は騙されていることに気づかず、暗証番号などの機密情報を攻撃者は採取し、被害者の金融口座に不正アクセスすることが可能になる」
しかし、次に挙げる3つのことを実行すれば、このような手口に引っかかることはない。
1. 上述したように、デフォルトの電話アプリを変更しない
2. スマートフォンにアプリをサイドローディングしない。グーグルもこのような行為をしないように警告している
3. 自分のスマートフォンで「Google Playプロテクト」が有効になっていることを確認する
グーグルはサイドローディングの取り締まりを強化しており、Playプロテクトを自社のPlayストアで扱っているアプリ以外にも拡大し、他のソースからダウンロードされたアプリにも適用されるようにしてきた。
また、Android 15の新機能「ライブ脅威検知」も、間もなくスマートフォンのOSをアップグレードすることで導入されるはずだ。これによって、ユーザーのデバイス上でこのようなアプリによる悪意のある動作をリアルタイムで監視できるようになり、まだリストアップされていない有害アプリも防ぐことができる。
Zimperiumが公開している情報を参照すれば、あなたが使っているスマートフォンに既知のFakeCallアプリが入っていないかを確認することができる。また、デフォルトの電話アプリが変更されていないか、覚えのないアクセシビリティサービス権限が設定されていないか、Google Playプロテクトが常に有効になっているか、といったことも確認しておいたほうがよいだろう。
