Androidスマートフォンでは、ユーザーがOTPコードを盗まれる危険がある

セキュリティ企業Zimperiumのレポートによると、このキャンペーンは2022年2月から検出され、監視されています。現在までに、少なくとも107,000の関連マルウェアサンプルが確認されています。

このマルウェアは主にAndroidデバイスを標的とし、ログインやオンライン取引時の二要素認証でよく使用されるワンタイムパスワードの一種であるOTPコードを盗むことを目的としています。

このキャンペーンでは、13のコマンド＆コントロール（C&C）サーバーによって制御された2,600以上のTelegramボットがマルウェアの拡散に利用されました。このキャンペーンの被害者は113か国に及びましたが、インド、ロシア、ブラジル、メキシコ、米国に最も集中していました。

このマルウェアは主に2つの方法で拡散されます。被害者はGoogle Playを装った偽のウェブサイトに誘導されるか、Telegramボットを介して海賊版APKアプリをダウンロードするよう誘導されます。アプリをダウンロードするには、ユーザーは電話番号を入力する必要がありますが、マルウェアはそれを利用して新しいAPKファイルを作成し、攻撃者が追跡したり、さらなる攻撃を実行したりできるようになります。

ユーザーがマルウェアに感染したアプリにSMSへのアクセスを無意識のうちに許可すると、マルウェアはSMSメッセージ（携帯電話に送信されたワンタイムパスワード（OTP）を含む）を読み取ることができるようになります。これにより、攻撃者は機密情報を盗むだけでなく、アカウントの不正利用や金融詐欺の被害に遭うリスクも高まります。

OTPコードが盗まれると、攻撃者は被害者の銀行口座、電子ウォレット、その他のオンラインサービスに簡単にアクセスでき、深刻な経済的損害を引き起こす可能性があります。さらに、被害者の中には、知らないうちに違法行為に巻き込まれてしまう人もいます。

Zimperiumはまた、このマルウェアが盗んだSMSメッセージを、海外の仮想電話番号へのアクセスを販売するウェブサイト「fastsms.su」のAPIエンドポイントに送信していることも発見しました。これらの電話番号はオンライン取引を匿名化するために使用でき、追跡を困難にします。

攻撃のリスクから身を守るために、Android ユーザーは次のことを推奨されます。

Google Play 以外のソースから APK ファイルをダウンロードしないでください。これらのファイルには、情報を簡単に盗む可能性のある悪意のあるコードが含まれている可能性があります。

不明なアプリに SMS アクセスを許可しないでください。これにより、マルウェアが OTP コードを含むメッセージを読み取るリスクが制限されます。

Play プロテクトを有効にする: これは、デバイス上の悪意のあるアプリをスキャンして検出する Google Play のセキュリティ機能です。