SecuriDropperマルウェアはAndroidスマートフォンのセキュリティ障壁を「回避」する

Hacker News によると、 Android ドロッパー マルウェアは、デバイスに悪意のあるコードをインストールするための経路として機能するように設計されており、攻撃者にとって有利なビジネス モデルになるだけでなく、他の犯罪グループにこの機能を宣伝することになります。

制限設定は、Android 13で導入されたセキュリティ機能で、Google Playストアにないアプリがユーザー補助機能や通知リスナーにアクセスするのを防ぎます。アプリがこれらの権限を要求していることが判明した場合、制限設定は直ちに警告を表示し、ユーザーがアプリにこれらの権限を付与できないようにします。

ベトナムの国営サイバーセキュリティ技術会社NCSのテクニカルディレクター、ヴー・ゴック・ソン氏によると、アクセシビリティは、ベトナムにおいて過去に国家機関のアプリケーションを偽装した一連のマルウェアが携帯電話を制御し、ユーザーの金銭を盗むために悪用してきた権利であり、被害者はわずか数分で20億ドン以上を失った事例もあるとのことです。これらのマルウェアはAndroid 12以下のスマートフォンにしか侵入できず、Android 13または14のスマートフォンでは制限設定によって検出・ブロックされます。

しかし、SecuriDropperでハッカーが用いる新たな手法は、インストールプロセスを複数のステップに分割することです。まず、特別な権限を持たない偽のソフトウェアが被害者のデバイスにインストールされます。次に、このソフトウェアはAndroid APIを呼び出してGoogle Playのインストールセッションを偽装し、スマートフォンにマルウェアをインストールして制限設定を回避します。

このマルウェアは、OSに検知・ブロックされることなく、アクセシビリティと通知リスナーの権限を要求できるようになりました。最新のAndroid 14にアップグレードしたユーザーであっても、この手法を用いたマルウェアの攻撃を受ける可能性があります。

オランダのサイバーセキュリティ企業ThreatFabricは、SpyNoteやERMACなどのバンキング型トロイの木馬が、フィッシングサイトやDiscordなどのサードパーティプラットフォーム上でSecuriDropper経由で配布されているのを確認したと述べた。

GoogleはThe Hacker Newsの取材に対し、制限付き設定は、アプリがAndroidの設定や権限にアクセスする際に必要なユーザーの同意に加え、さらなる保護レイヤーを追加するものだと述べました。また、ユーザーはGoogle Playプロテクトによって保護されており、Google Play開発者サービスを使用しているAndroidデバイス上で危険な動作をするアプリに対して警告やブロックを行うことができます。Googleはユーザーの安全を守るため、攻撃ベクトルを常に見直し、Androidのマルウェア対策を強化しています。

攻撃から身を守るために、Vu Ngoc Son氏はAndroidユーザーに対し、信頼できないソースからのAPKファイルをダウンロードしないようにアドバイスしています。