Zscalerは5月27日(米国時間)、「Anatsa Campaign Technical Analysis|ThreatLabz」において、Androidデバイス向けバンキング型マルウェア「Anatsa(別名:TeaBot)」を配布するサイバー攻撃の新しいキャンペーンを確認したとして、分析結果を公開した。このキャンペーンでは、公式のGoogle PlayストアからPDFリーダーやQRコードリーダーを装ってマルウェアが配布されたという。
マルウェアの感染経路
このキャンペーンでは、公式のGoogle Playストアから無害なPDFリーダーおよびQRコードリーダーを配布する手法が使用された。インストール直後は無害なアプリとして動作するが、攻撃者のコマンド&コントロール(C2: Command and Control)サーバから悪意のあるペイロードをダウンロードし、攻撃者の指示に基づいてマルウェアをインストールする。
マルウェアはアプリのアップデートを装ってインストールされる。このとき、ユーザーにアクセシビリティを含む複数の権限を要求する。これら権限が許可されるとデバイスは侵害され、金融機関の公式アプリを介して認証情報などが窃取される。
マルウェアが及ぼす影響と対策
Zscalerの分析によると、公式ストアから配布されるマルウェアの約4割はツールカテゴリーのアプリに偽装するという。攻撃者はこのカテゴリーの人気の高さを悪用しており、今回のキャンペーンにおいても70,000回以上インストールされたとみられている。
Zscalerはネットワークセキュリティを強化するために、ゼロトラストアーキテクチャの導入を推奨している。また、同社は調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。