物事は必ずしも見かけどおりではありません。たとえば、昨年、Google Playで提供されているいくつかのモバイルゲームが、実際には悪意のあるアプリだったことがわかりました。多くの被害者がGoogle Playがサポートしていたこれらのゲームをダウンロードし、セキュリティ侵害が発生しました。これはよく耳にし、何度も繰り返し発生している攻撃です。そして、この攻撃はモバイルプラットフォーム上でも急激に拡大しており、最近では新しいAndroidマルウェアによって表面化してきました。
つまりサイバー犯罪者が、フィッシング攻撃(英語)— 信頼できるサービスを装って、ユーザーの個人情報や機密情報を入手する攻撃 — をモバイル環境に適応させているのです(英語)。信頼できるサービスのように見せかけた偽アプリや更新プログラムを開発して公開します。中にはモバイル版が存在しないサービスを偽装することもあります。
特に多いのが2つのタイプの攻撃です。1つはダウンロード可能なアプリの形をとり、もう1つは条件と合致すれば偽の「更新プログラム」を被害者にプッシュ配信するものです。前者のような悪意のあるアプリは、外見上はまったく問題がないように見えるため、Googleによる厳しい審査システムをくぐり抜け、あたかも正当なアプリであるように偽装します。一方、後者では、悪意のある更新プログラムパッケージを被害者にダウンロードさせるため、正当な権限-今回の場合では、Chromeモバイルブラウザに対してGoogleが持っている権限-を悪用します。
では攻撃の糸口はどこにあるのでしょうか。攻撃スタイルごとにその答えが違います。たとえば脅威となる悪意のあるアプリによる偽装では、アプリ単独(英語)では何も害を及ぼしません。その代わり、巧妙に作られた偽の銀行や決済用Webサイトのログインページに誘導して、認証情報を盗み取ります。偽の更新プログラムを伴う脅威は、BGRレポートでも指摘されているように(英語)、実は偽サイトなのに正式な更新プログラムを装うことで、デフォルトのセキュリティを無効化した被害者を攻撃します。この脅威は被害者のデバイス上にある、既存のあらゆるセキュリティソフトウェアも無効化します。
いずれも銀行、アプリストア、主要なソフトウェア会社といった信頼性の高い名称を利用し、サイバー犯罪者がマルウェアの検出をかわす、巧みで恐ろしい方法です。
このような悪意のあるアプリは、Bitcoinなどの仮想通貨(英語)にオンラインバンキングや決済サービスを使用している人々を標的としていますが、あらゆるモバイルユーザーがこの種の脅威に直面する可能性があります。この種の攻撃は他のアプリへの再攻撃が簡単で、大きな被害をもたらす可能性が高いのです。
ではダウンロードしようとしているアプリが正当なものであることを確認するにはどうすればよいのでしょうか。以下にいくつかヒントを挙げます。
- 開発者の認証情報を調査すること。Google PlayはAndroidのデフォルトアプリストアで、Androidデバイス用としては最も安全なストアでもあります。それでも悪意のあるアプリが入り込むことがあります。アプリをダウンロードする際は、レビュー内容を読み、ストア内のアプリページの最後に表示された開発者の認証情報を確認してください。
- デフォルトのキュリティ設定を無効化しないこと。ユーザーがデバイスのデフォルトのセキュリティ設定を変更すると、悪意のあるアクティビティがウイルス検知機能を迂回し、アプリストアに入り込んでしまうことがあります。脱獄(ジェイルブレイク) やルート化など、デフォルトセキュリティ設定を迂回してデバイスをカスタマイズする技術的なアクティビティによって、たとえ機能は追加されても、セキュリティが犠牲になってしまいます。このような危険を冒すべきではありません。
- 信頼性の高いモバイルセキュリティソリューションを使用すること。McAfee Mobile Securityのような包括的なセキュリティソリューションをインストールすることで、iOS(英語)またはAndroid(英語)のいずれを使用している場合でも、サイバー犯罪者の悪質な行為からデバイスを常に保護することができます。
そして当然ながら、私とマカフィー公式Twitterをフォローし、マカフィー公式Facebookで「いいね!」をクリックして、コンシューマとモバイルのセキュリティ脅威に関する最新情報を常に入手しておくことも重要です。
※本ページの内容は2016年5月6日更新のMcAfee Blog の抄訳です。
原文: Phishing Goes Mobile: New Android Malware Hits Google Play
著者: Gary Davis(Chief Consumer Security Evangelist)
【関連情報】
- McAfee Labs脅威レポート2016年6月
- 第16回:今だから学ぶ! セキュリティの頻出用語 : フィッシングとは?
- McAfee Antivirus & Security
- McAfee: Private Photo Vault, Backup, Mobile Security and Locate Device(英語)
- Criminals Prefer Pheasting on Phish Over Spam(英語)
- New Android Malware Imitates Banking Apps(英語)
- Google Play infested with cash-stealing web apps(英語)
- Nasty piece of Android malware monitors texts, browser history and banking information(英語)
- CRYPTOCURRENCY(英語)