Androidマルウェアは、300,000を超えるデバイスをバンキング型トロイの木馬に感染させました

Google Playの最初のアプリは安全でしたが、作成者はPlayストアの保護を回避してAndroidユーザーのデバイスにマルウェアをインストールする方法を見つけました。これがどのように起こったか、そして安全を保つ方法です。

Female hand using mobile smart phone with icon graphic cyber security network of connected devices and personal privacy data information — 画像：marchmeena29、Getty Images / iStockphoto

ThreatFabricからの11月のレポートでは、300、000Androidユーザーは、バンキング型トロイの木馬機能を備えたマルウェアを無意識のうちにダウンロードしました。 Google Playストアの制限を回避しました。

サイバー犯罪者は、ユーザーアカウントの資格情報にアクセスするように設計されたさまざまなバンキング型トロイの木馬をAndroidユーザーに感染させる方法を開発しました。最初のステップは、悪意のあるフットプリントがほとんどなく、QRコードスキャナー、PDFスキャナー、暗号通貨関連アプリ、フィットネス関連アプリなど、実際には機能的で便利なアプリケーションのように見えるアプリをGooglePlayストアに送信することでした。

起動すると、これらのアプリはユーザーに更新を要求しました。更新はGoogle Playストアの外部にダウンロードされ(サイドローディング手法)、Androidデバイスに悪意のあるコンテンツがインストールされました。

参照：パスワード違反：なぜポップカルチャーとパスワード混ぜないでください(無料のPDF)(TechRepublic)

したがって、最初のアプリケーションには悪意のあるものは含まれていませんでしたが、インストール後に悪意のあるコンテンツをインストールする方法が提供され、GooglePlayストアからは完全に見えなくなりました。

攻撃者は、ダウンロードやインストールが含まれていないアプリケーションの初期バージョンを送信するように十分注意していましたすべての機能、および後でGoogle Playストアのアプリケーションをより多くの権限で更新し、マルウェアのダウンロードとインストールを可能にしました。また、メカニズムを使用して、ペイロードが実際の被害者のデバイスにのみインストールされ、テスト環境にはインストールされないようにすることで制限を設定し、検出をさらに困難にしました。

ThreatFabricは、4つの異なるバンキング型トロイの木馬ファミリーを発見しました：Anatsa、Alien 、HydraとErmac、Anatsaが最も普及しています。

Google Playストアのセキュリティ

Google PlayはAndroidアプリケーションの主要なリポジトリであり、開発者は誰でも自分のアプリケーションをPlayストアに送信できます。送信されたアプリケーションは、アプリのレビュープロセスを経て、悪意がなく、開発者ポリシーに違反していないことを確認します。

SEE ：Google Chrome：知っておく必要のあるセキュリティとUIのヒント(TechRepublic Premium)

これらのポリシーには主にアプリのコンテンツが適切であること、他のアプリやユーザーになりすましたりコピーしたりしないこと、収益化ポリシーに準拠していること、最小限の機能を提供していることを確認します(常にクラッシュすることはなく、ユーザーエクスペリエンスを尊重する必要があります) 。

セキュリティの面では、送信されるアプリはもちろん悪意のあるものであってはなりません。ユーザーやそのデータを危険にさらしたり、デバイスの整合性を損なったり、デバイスを制御したり、リモート制御を有効にしたりしないでください。攻撃者がデバイスにアクセス、使用、または悪用したり、適切な開示や同意なしに個人データを送信したり、他のデバイスやサーバーにスパムやコマンドを送信したりするための操作。

送信されたアプリケーションを調査するGoogleのプロセスには、許可も含まれます。検証。一部の権限またはAPIは機密性が高いと見なされ、開発者が特別な承認リクエストを提出し、アプリケーションが本当にそれらを必要とすることを確認するためにGoogleによるレビューを受ける必要があります。

Google PlayストアのマルウェアとPUA

マルウェアに取り組むための絶え間ない新しい方法を十分に認識し、積極的に展開している間、GooglePlayストアは引き続きまれにバイパスされます。 Google Playストアのアプリケーション送信に適用されるレビュープロセス全体により、サイバー犯罪者がプラットフォームを介してマルウェアを拡散することは非常に困難ですが、残念ながらそれでも可能です。

参照：パスワード違反：ポップカルチャーとパスワードが混在しない理由(無料PDF) (TechRepublic)

11月にリリースされた調査 NortonLifeLock Research Groupによる)は、29百万のAPKがに広がっています100万台のAndroidデバイス、10％と 24その％は悪意のあるものとして説明される可能性がありますまたは、分類によっては、不要になる可能性のあるアプリケーション。それらのアプリケーションのうち、67％はGooglePlayストアからインストールされました。研究者は、「Playマーケットは、を担当する主要なアプリ配布ベクトルです。すべてのインストールの％および67不要なインストールの割合。ただし、ベクトル検出率はわずか0.6％であり、不要なアプリに対するPlayマーケットの防御は機能しますが、それでもかなりの量です。不要なアプリの多くはそれらをバイパスすることができ、不要なアプリの主要な配布ベクトルになります。最終的に、ユーザーはデバイスブラウザを介してWebページから、または代替マーケットプレイスからマルウェアをダウンロードすることでマルウェアをインストールする可能性が高くなります。

Androidデバイスをマルウェアから保護する方法

いくつかの手順で、Androidデバイスが危険にさらされるリスクを大幅に減らすことができます。

不明なストアは避けてください。不明なストアには通常、maがありません。 Google Playストアとは異なり、lware検出プロセス。信頼できないソースからのソフトウェアをAndroidデバイスにインストールしないでください。
アプリをインストールするときに、要求された権限を注意深く確認してください。 アプリケーションは、必要なAPIの権限のみを要求する必要があります。たとえば、QRコードスキャナーはSMSを送信する許可を求めてはなりません。 Google Playストアからアプリケーションをインストールする前に、アプリの説明を下にスクロールし、[アプリのアクセス許可]をクリックして、要求内容を確認してください。
インストール後の即時更新要求は疑わしいです。 Playストアからダウンロードされたアプリケーションは、最新バージョンであると想定されています。アプリが最初の実行時に更新許可を要求した場合、インストール直後は疑わしいです。
アプリケーションのコンテキストを確認してください。 アプリケーションは開発者からの最初のものですか？レビューは非常に少なく、おそらく5つ星のレビューだけですか？

Androidデバイスでセキュリティアプリケーションを使用します。包括的なセキュリティアプリケーションをにインストールする必要がありますそれを保護するためのデバイス。

開示：私はトレンドマイクロで働いていますが、この記事で表現されている見解は私のものです。

Cybersecurity Insider Newsletter

組織のITセキュリティを強化する最新のサイバーセキュリティニュース、ソリューション、およびベストプラクティスに遅れないようにすることで、キュリティディフェンス。火曜日と木曜日に配信

今日サインアップする

も参照) )

ビジネスプロフェッショナル向けのトップタブレット(TechRepublic)

PixelでExtreme Battery Saverを有効にする方法(TechRepublic)

サイバーセキュリティプロになる方法：チートシート(TechRepublic)

NIST Cybersecurity Framework：のチートシート専門家(無料PDF)(TechRepublic)

モバイルVPNアプリとは何ですか？なぜそれらを使用する必要があるのですか(TechRepublic Premium)

サイバーセキュリティとサイバー戦争：必読の記事をもっと読む(TechRepublic on Flipboard)