SonicWallはこのほど、「Android Remote Access Trojan Equipped to Harvest Credentials|SonicWall」において、Androidデバイスを標的とする資格情報窃取を目的とした遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の分析結果を公開した。

  • Android Remote Access Trojan Equipped to Harvest Credentials|SonicWall

    Android Remote Access Trojan Equipped to Harvest Credentials|SonicWall

分析結果

SonicWallによると、発見されたマルウェアは、Instagram、X、Googleなど、以下の有名なAndroidアプリのアイコンを使用してユーザーをだまし、インストールさせるという。マルウェアはインストールされると、ユーザーに「アクセシビリティーサービス」と「デバイス管理者権限」の許可を求める。

  • 偽装に使用する有名なAndroidアプリのアイコン一覧 - 引用:SonicWall

    偽装に使用する有名なAndroidアプリのアイコン一覧 引用:SonicWall

これら権限を許可すると、悪意のあるアプリはユーザーの同意なしに他の権限も取得できるようになり、デバイスを制御できるようになる。デバイスの制御が可能になると悪意のあるアプリは攻撃者のコマンド&コントロール(C2: Command and Control)サーバーに接続し、遠隔操作型トロイの木馬として動作する。

このマルウェアには次のような機能があるとされる。

  • メッセージ、通話履歴、連絡先リストの窃取
  • インストールされているアプリ一覧の窃取
  • 壁紙の変更
  • さまざまなオンラインサービスの認証情報窃取
  • ショートメッセージサービス(SMS: Short Message Service)の送信
  • デバイスのバイブレーションの操作
  • カメラのフラッシュライトの操作

オンラインサービスの認証情報窃取は、マルウェアに埋め込まれた偽のログインページを表示して行う。偽のログインページは複数埋め込まれており、コマンド&コントロールサーバーからの指示で表示することができる。ユーザーがログインを試みると、入力した資格情報が窃取される。

  • マルウェアに埋め込まれたフィッシングページの例 - 引用:SonicWall

    マルウェアに埋め込まれたフィッシングページの例  用:SonicWall

影響と対策

これまでのところ、このマルウェアの配布経路はわかっていない。しかしながら、公式アプリと同じアイコンを使用しているものが存在することから、サードパーティーのアプリストアなどから配布されているものと推測される。

このような攻撃を回避するために、Androidユーザーには公式ストアからアプリをインストールし、他のサイトからはインストールしないことが推奨されている。また、アクセシビリティーサービスの権限はマルウェアが積極的に悪用するため、許可しないことが望まれている。