Androidのバンキングトロイの木馬であるAnatsaが、スロバキア、スロベニア、チェコを含む新たな国々に焦点を拡大し、2023年11月に観測された新しいキャンペーンの一環として、Google Playのセキュリティを回避している。ThreatFabricによる報告によると、このキャンペーンには5つのドロッパーが含まれ、合計で10万回以上インストールされた。Anatsaは、TeaBotやToddlerとしても知られ、Google Play Store上で無害に見えるアプリの下に隠され、Googleが設定したセキュリティ対策を回避してマルウェアをインストールする。2023年6月、オランダのモバイルセキュリティ会社は、少なくとも2023年3月から米国、英国、ドイツ、オーストリア、スイスの銀行顧客を狙ったAnatsaキャンペーンを公表し、Play Storeで3万回以上ダウンロードされたドロッパーアプリを使用していた。
最新のキャンペーンでは、”Phone Cleaner – File Explorer”(パッケージ名 “com.volabs.androidcleaner”)という電話クリーナーアプリに偽装したドロッパーが、その悪意ある振る舞いを導入するためのバージョニングという技術を利用した。このアプリはGoogle Play Storeからはもはやダウンロードできないが、他の怪しい第三者ソースを通じてまだダウンロード可能である。AppBrainの統計によると、このアプリはGoogle Play Storeで利用可能だった2023年11月13日から11月27日の間に約12,000回ダウンロードされたと推定される。ドロッパーは、Samsungデバイスを狙ったアクセシビリティサービスの悪用が特徴で、他のドロッパーはメーカーに依存しないことが見つかった。また、Android 13の制限設定を回避する能力も持っている。
Fortinet FortiGuard Labsは、正規のシンガポールベースの暗号通貨ウォレットサービスであるimTokenを模倣し、目的地のウォレットアドレスを俳優が制御するものに置き換え、不正な資産転送を行うSpyNoteリモートアクセストロイの木馬を配布する別のキャンペーンについて詳細を報告した。
【ニュース解説】
Androidのバンキングトロイの木馬であるAnatsaが、Google Playのセキュリティ対策を回避し、スロバキア、スロベニア、チェコを含む新たな国々にその活動範囲を広げていることが2023年11月のキャンペーンで観測されました。このキャンペーンには5つのドロッパーが含まれ、合計で10万回以上インストールされたと報告されています。Anatsaは、無害に見えるアプリの下に隠れてGoogle Play Store上で配布され、デバイスの完全な制御を取得し、被害者に代わって行動を実行する能力を持っています。これにより、クレデンシャルの窃盗や詐欺的な取引の開始が可能になります。
このトロイの木馬は、特にバージョニングという技術を利用して、アプリの更新を通じて悪意あるコードを導入することで、Google Playのセキュリティ対策を巧みに回避しています。例えば、”Phone Cleaner – File Explorer”というアプリは当初は無害であるように見えましたが、リリース後1週間で悪意あるコードが導入されました。このような手法は、ユーザーが安全だと信じてダウンロードしたアプリが後に危険な振る舞いをするため、特に悪質です。
Anatsaのこのキャンペーンは、特定の地域や金融機関に集中的に攻撃を仕掛けることで、短期間に多くの詐欺ケースを生み出す戦略を採用しています。この地域的な焦点を絞ったアプローチは、攻撃者がより効果的にターゲットを選定し、成功率を高めることを可能にします。
このような攻撃の増加は、Androidユーザーだけでなく、金融機関にとっても大きな脅威となります。ユーザーは、公式のアプリストアからダウンロードしたアプリであっても、その安全性を過信せず、アプリの権限や挙動に注意を払う必要があります。また、金融機関は、不正な取引の検出と防止のためのシステムを強化し、顧客への教育を徹底することが求められます。
長期的には、このような攻撃の増加は、アプリのセキュリティ対策の強化や、アプリストアの審査プロセスの改善を促す可能性があります。また、デバイスのセキュリティ機能の向上や、ユーザーのセキュリティ意識の高揚も期待されます。しかし、攻撃者も常に新しい手法を開発しているため、セキュリティ対策は常に進化し続ける必要があります。
from Anatsa Android Trojan Bypasses Google Play Security, Expands Reach to New Countries.
