ESETは3月18日(米国時間)、運営するセキュリティ情報メディアのWeLiveSecurityの記事「Beware Android trojan posing as Clubhouse app|WeLiveSecurity」において、音声SNS「Clubhouse」のAndroid版アプリを装ってトロイの木馬型マルウェアを配信しているWebサイトが発見されたと伝えた。このWebサイトは本物のClunbhouseに似せて作られているが、ClubhouseアプリではなくAndroid向けの「BlackRock」と呼ばれるマルウェアを配信している。

Clubhouseは音声のみのコミュニケーションを提供する招待制のSNSで、日本国内では2021年1月末から2月頃にかけて爆発的に広まった。本稿執筆時点ではiOSにのみ対応しており、Android版の公式アプリは提供されていない。

偽物のWebサイトは本物と良く似ているが、トップレベルドメインが「.mobi」となっており、App StoreではなくGoogle Playのボタンが貼られている。このボタンをクリックすると、アプリのパッケージであるAPKファイルのダンロードロードが開始されるが、これはClubhouseアプリではなく前述の「BlackRock」のパッケージだ。そもそも、Andoridアプリの正規の配布サイトであれば、APKを直接ダウンロードさせるのではなく、Google Playのアプリページにリダイレクトされるはずである。

  • Clubhouseの偽サイト(左)と本物のサイト(右) ー 画像:WeLiveSecurity

    Clubhouseの偽サイト(左)と本物のサイト(右)引用:WeLiveSecurity

「BlackRock」は、インストールすると458以上のアプリを対象としてオンラインサービスのためのログイン情報を盗み出すという。ターゲットリストには、ショッピングアプリや金融アプリ、暗号通貨の取引所、ソーシャルメディアやメッセージングプラットフォームなどが含まれる。具体例としTwitterやFacebook、AmazonやNetflixなどが挙げられている。

SMSを利用した2段階認証を設定している場合でも、テキストメッセージ自体がマルウェアに傍受される可能性もあるため、必ずしも安全とは言えないとのこと。WeLiveSecurityの記事では、モバイルアプリの利用者をターゲットにしたこのような攻撃から身を守るベストプラクティスも紹介されている。