1,100万台のAndroid端末がGoogle Playからのマルウェアに感染

カスペルスキー社の報告によると、Google Play 上の一見無害な 2 つのアプリケーションを通じて、1,100 万台以上の Android デバイスが Necro マルウェアに感染していることが判明しました。

銀行口座情報を盗む31個のアプリ、即時削除すべき（2024年9月3日）
NGateマルウェア、NFCリーダーを使って被害者の金銭を搾取（8月27日）
警告：金銭の盗難とAndroidデバイスのデータ消去に特化した新たなマルウェア
スマートフォンに悪質なアプリがインストールされていないか確認する方法
Androidスマートフォンから悪質なアプリを削除する方法

Necro は、Google Play で 1 億回以上ダウンロードされたテキスト認識アプリ CamScanner で 2019 年に初めて発見されました。

1,100万台のAndroid端末がGoogle Playからのマルウェアに感染

最近、サイバーセキュリティ研究者は、Necro が Google Play の人気アプリと非公式 Web サイトのさまざまなアプリバージョンの両方で再出現したことを発見しました。このマルウェアの新しいバージョンは、より多くの機能が追加されてアップグレードされました。

カスペルスキーの専門家は、正規アプリケーションの開発者が未検証の広告統合ツールを使用しており、それが Necro の侵入を助長した可能性があると考えています。

Google Play で人気の 2 つのアプリ、Wuta Camera と Max Browser に、合計 1,100 万回以上ダウンロードされている Necro マルウェアが含まれていることが判明しました。

ネクロはステガノグラフィーと呼ばれる技術を使ってセキュリティシステムを簡単に回避しました。デバイスに侵入すると、マルウェアが制御権を握り、追加のマルウェアをダウンロードし、さらにはユーザーに知られずに密かに有料サービスに加入します。

ユーザーは、Wuta Camera (感染バージョン 6.3.2.148 ～ 6.3.6.148) や Max Browser などのアプリがインストールされている場合は、直ちに削除する必要があります。

銀行口座情報を盗む31個のアプリ、即時削除すべき（2024年9月3日）

以下の 31 個の悪意のあるアプリは、ユーザーの許可なく銀行口座のログイン情報を盗む可能性があります。

セキュリティ研究者は、スマートフォンにインストールされているセキュリティアプリケーションを回避し、多くの深刻な結果を引き起こす可能性がある「Daam」と呼ばれるマルウェアを発見しました。

1,100万台のAndroid端末がGoogle Playからのマルウェアに感染

専門家によると、このタイプのマルウェアは、高度な動作方法を持ち、データを盗み、機密情報を収集し、被害者のスマートフォン上のすべての着信および発信通話（Messenger、Telegram、WhatsAppなどのアプリケーション経由の通話を含む）を盗聴および記録できると評価されています。

CloudSEK の専門家によると、Daam マルウェアを含むアプリケーションは 3 つあります。

Psiphon アプリケーションは仮想プライベートネットワーク (VPN) を作成します。
ボルダーズのモバイルゲーム。
Currency Pro 通貨価値コンバーターアプリケーション。

さらに、国際的な情報セキュリティ研究機関は、ユーザーを騙してインストールさせるために便利なアプリケーションを装い、マルウェアを拡散させる傾向のあるアプリケーションを28個発見したと発表した。アプリのうち 17 個は VPN ツールを装い、ユーザーがより安全に Web を閲覧し、インターネット上で本当の身元を隠すことができると主張しています。

悪意のあるコードを含む 28 個のアプリは次のとおりです。

ライトVPN;
アニメーションキーボード;
ブレイズストライド;
バイトブレードVPN;
Android 12 ランチャー;
Android 13 ランチャー;
Android 14 ランチャー;
CaptainDroid フィード;
無料の古典映画。
電話の比較;
ファストフライVPN;
ファストフォックスVPN;
ファストラインVPN;
面白いチャーミングアニメーション。
リムジンエッジ;
OK VPN;
電話アプリランチャー;
クイックフローVPN;
サンプル VPN;
サンダーを確保します。
輝き安全;
スピードサーフ;
Swift Shield VPN;
ターボトラックVPN;
ターボトンネルVPN;
イエローフラッシュVPN;
VPN ウルトラ;
VPNを実行します。

専門家は、ユーザーのデバイスにこれらのアプリケーションが含まれている場合は、不幸なリスクを避けるためにすぐに削除する必要があると警告しています。同時に、安全を確保するために、ユーザーは見慣れないアプリケーションをダウンロードせず、Google Play の Google Play プロテクト機能を有効にしてマルウェアから保護し、信頼できるウイルス対策ソリューションを使用する必要があります。

NGateマルウェア、NFCリーダーを使って被害者の金銭を搾取（8月27日）

サイバーセキュリティ企業ESETは、感染したデバイスのNFCリーダーを使用して携帯電話から支払いデータを取得し、その情報を犯罪者に中継するAndroidマルウェアを発見した。

このマルウェアは NFCGate ツールキットを使用して NFC トラフィックを分析するため、NGate という名前が付けられています。

1,100万台のAndroid端末がGoogle Playからのマルウェアに感染

このマルウェアにより、ATMやPOS（販売時点情報管理）端末のユーザーデータを使用して、犯罪者がレジで現金を引き出したり、購入代金を支払ったりすることが可能になる。

NGate は、偽の Web サイトへのリンクを含むインスタントメッセージを送信して被害者のログイン認証情報を収集し、納税申告書に問題があるとして被害者にアプリをインストールするよう要求します。収集された情報に基づいて、攻撃者は標的の銀行口座にアクセスできるようになります。

次に、攻撃者は銀行員を装って被害者に電話をかけ、実際には NGate マルウェアであるアプリへのリンクを含むテキストメッセージを送信します。攻撃者は被害者に、携帯電話で NFC を有効にしてカードをスキャンするように要求します。

NGate は、侵害されたスマートフォンを介して、被害者のカードから攻撃者のスマートフォンに NFC データを転送し、攻撃者がカードをエミュレートできるようにします。そこから、詐欺師はリアルタイムの情報を受け取り、ATMからお金を引き出します。

Google Play Protect の自動保護により、現在 Google Play では NGate を含むアプリは検出されません。

警告：金銭の盗難とAndroidデバイスのデータ消去に特化した新たなマルウェア

セキュリティ専門家は、銀行口座から金銭を盗み、被害者の電話データを消去する「BingoMod」と呼ばれる新しいAndroidマルウェアを発見した。

BingoMod は多くの場合、人気のモバイルセキュリティアプリを装い、フィッシング SMS メッセージで配布され、ユーザーを騙してインストールさせます。マルウェアがインストールされると、ユーザーにアクセシビリティサービスへのアクセスを許可するよう要求し、デバイスを完全に制御してログイン認証情報を盗み、スクリーンショットを撮り、メッセージを傍受し、さらにはデバイス上で直接不正なトランザクションを実行することさえできるようになります。

1,100万台のAndroid端末がGoogle Playからのマルウェアに感染

調査結果によると、このマルウェアによる各トランザクションでは、最大 16,000 米ドル (約 4 億 400 万 VND) 以上が盗まれる可能性があります。

さらに、BingoMod はお金の引き出しに成功した後、携帯電話のデータも消去できるため、被害者が情報を回復するのは困難です。

BingoMod は現在も開発中であり、将来的には間違いなくさらに危険になるでしょう。

そのため、専門家は、Android ユーザーは、銀行口座や個人データを保護するためのセキュリティに関連した名前が付いた、奇妙なアプリケーションをダウンロードするためのリンクを含む SMS メッセージには特に注意する必要があると警告しています。さらに、ユーザーはアプリをインストールする前に、開発者情報を注意深く確認し、他のユーザーのレビューを読む必要があります。