Malwarebytesは2月25日(米国時間)、「Predatory app downloaded 100,000 times from Google Play Store steals data, uses it for blackmail|Malwarebytes」において、Google Playから悪意のあるローンアプリが10万回以上ダウンロードされたと報じた。

アプリはユーザーデータを窃取して支払いの脅迫に悪用するなど、略奪的貸付(predatory lending)を行うとされる。

  • Predatory app downloaded 100、000 times from Google Play Store steals data、uses it for blackmail|Malwarebytes

    Predatory app downloaded 100,000 times from Google Play Store steals data, uses it for blackmail|Malwarebytes

悪意のあるローンアプリの概要

悪意のあるローンアプリはセキュリティ企業の「CYFIRMA」により発見された。CYFIRMAの報告によると、アプリ名は「Finance Simplified」で、追加のローンアプリを紹介するとうたい、外部サイトからマルウェア「SpyLend」をインストールするという(参考:「SPYLEND: The Android App Available on Google Play Store: Enabling Financial Cyber Crime & Extortion - CYFIRMA」)。

アプリは起動するとWebViewを使用して外部サイトからコンテンツをロードする。そのため、マルウェアのダウンロードだけではなく、フィッシングサイトへのリダイレクトなども可能とされる。

  • Finance Simplifiedのアプリ紹介ページ。1週間で5万回ダウンロードが増加した - 引用:CYFIRMA

    Finance Simplifiedのアプリ紹介ページ。1週間で5万回ダウンロードが増加した 引用:CYFIRMA

最終的にインストールされるマルウェア「SpyLend」からは、少なくとも次の機能が確認されている。

  • 永続性の確保
  • 3秒間隔で位置情報を更新し、位置情報履歴を窃取
  • クリップボードの窃取
  • 通話ログの窃取
  • インストール済みアプリ一覧の窃取
  • メールアドレス、表示名、メモ、ニックネーム、電話番号を含む連絡先データの窃取
  • SMSメッセージの窃取

他にもデバイス情報の窃取、カメラへのアクセス、任意ファイル(写真や動画など)の窃取の可能性が指摘されている。

  • SpyLendの概念図 - 引用:CYFIRMA

    SpyLendの概念図 引用:CYFIRMA

窃取した情報は攻撃者のコマンド&コントロール(C2: Command and Control)サーバに送信される。CYFIRMAは、サーバの管理パネルから中国語のファイルが発見され、その活動からも攻撃者は中国に関係する人物の可能性があると説明している。

影響と対策

悪意のあるアプリは外部サイトからコンテンツをダウンロードするが、デバイスの位置情報を利用してコンテンツを切り替えるという。現時点ではインドのAndroidユーザーに限り、悪意のあるコンテンツに誘導されることが確認されている。

Malwarebytesは同様の被害に遭った場合の対策として、次の行動を推奨している。

  • 窃取された可能性のあるパスワードをすべて変更する
  • 多要素認証(MFA: Multi-Factor Authentication)を使用する。可能であればパスキーを利用する
  • クレジットカード情報は保存しない。通販サイトへの登録も避ける

悪意のあるアプリは2月25日(米国時間)、GoogleによりGoogle Playから削除された。悪意のあるアプリをインストールした場合は速やかに削除することが望まれるが、同時にマルウェアも削除する必要がある。