D3Labは10月16日(イタリア時間)、「Malware veicolato tramite falso sito di IT-Alert – D3Lab」において、イタリアの全国公共警報システム「IT-alert」に偽装したサイトからAndroid向けマルウェアが配布されていることを発見したと報じた。

  • Malware veicolato tramite falso sito di IT-Alert – D3Lab

    Malware veicolato tramite falso sito di IT-Alert – D3Lab

IT-alertは各種自然災害などの警報を多くの市民へ迅速に伝えることで、市民が安全対策を講じられるようにすることを目的としたイタリアの全国公共警報システム。このシステムは現在、同国で導入試験が実施されている(参考:「外務省 海外安全ホームページ|イタリア市民保護局による「ITアラート」(公共警報システム)の導入試験の実施について」)。

D3Labによると攻撃者は公式のIT-alertサイトに偽装したフィッシングサイトを作成し、このサイトからマルウェア「SpyNote」を配布したという。このサイトではiOS向けとAndroid向けのリンクを提供していたとされるが、iOS向けのリンクはIT-alert公式サイトへの無害なリンクだったとのこと。しかし、Android向けのリンクにアクセスすると、SpyNoteを含むAndroidアプリケーションパッケージファイル「IT-Alert.apk」が直接ダウンロードされたという。

SpyNoteは、銀行詐欺を行う遠隔操作ウイルス(RAT: Remote Administration Tool)機能を備えたスパイウェアとされる。フィッシングサイトからダウンロードしたIT-Alert.apkをインストールしてアプリを起動すると、アクセシビリティサービスが悪用されデバイスが侵害される。侵害されたデバイスからはさまざまな情報が窃取され、オーバレイ攻撃による銀行詐欺なども行われる可能性がある(参考:「Androidスパイウェア「SpyNote」が感染拡大、銀行詐欺に悪用される | TECH+(テックプラス)」)。

このようなフィッシング攻撃やマルウェアからデバイスを保護するため、AndroidユーザーはGoogle公式サイトからアプリをインストールし、非公式サイトからのインストールは避けることが推奨されている。また、Android向けマルウェアはアクセシビリティサービスを悪用してデバイスを侵害する傾向にあるため、アクセシビリティサービスのアクセス許可は慎重に取り扱うことが求めらている。