McAfee Labsは、Google Playストア上で8百万回以上ダウンロードされた悪意のあるAndroidアプリを発見しました。これらのアプリは「SpyLoan」と呼ばれるマルウェアを含んでおり、ユーザーに対して社会工学的手法を使用して個人情報を提供させ、アプリの追加権限を許可させることで、恐喝や嫌がらせ、金銭的被害を引き起こす可能性があります。
SpyLoanマルウェア
新たに発見されたこれらのアプリは、迅速で簡単なローンを提供すると偽り、メキシコ、コロンビア、セネガル、タイ、インドネシア、ベトナム、タンザニア、ペルー、チリなどのユーザーをターゲットにしています。以下の15個のアプリがリストに含まれており、そのうちのいくつかはまだ公式ストアでダウンロード可能な状態です。
出典: “8 Million Android Users Hit by SpyLoan Malware” – The Hacker News
- Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss )
- Préstamo Rápido-Credit Easy (com.voscp.rapido)
- ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
- RupiahKilat-Dana cair (com.rupiahkilat.best)
- ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
- เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
- KreditKu-Uang Online (com.kreditku.kuindo)
- Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
- Cash Loan-Vay tiền (com.vay.cashloan.cash)
- RapidFinance (com.restrict.bright.cowboy)
- PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
- Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
- IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
- ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
- ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)
これらのアプリの一部は、Facebookなどのソーシャルメディアプラットフォームを通じて宣伝されており、脅威アクターがマルウェアをインストールさせるための様々な手法を示しています。SpyLoanは2020年に初めて発見され、その後も2023年12月にESET(スロバキアに本社を置くセキュリティソフトウェア会社)によって新たな18個のアプリが報告されました。これらのアプリは高金利のローンを提供すると偽り、同時に個人情報や金融情報を収集していました。
手法
これらの金融詐欺の主な目的は、感染したデバイスからできるだけ多くの情報を収集することです。この情報を基に、ユーザーに高金利での返済を強要したり、個人写真を使って脅迫したりすることがあります。これらのアプリは、実際の金融支援を提供するのではなく、ユーザーを借金とプライバシー侵害のサイクルに陥れます。
また、これらのアプリは共通のフレームワークを使用しており、被害者のデバイスからデータを暗号化してコマンド・アンド・コントロール(C2)サーバーに送信します。このサーバーは攻撃者が侵入したシステムを遠隔操作するために使用するわけですが、これにより、攻撃者は被害者のシステムを完全にコントロールすることができます。
厄介なのはローン申請のためのユーザーエクスペリエンスが正規のアプリと共通していることです。なぜこれが厄介なのかというと、これらのアプリは、多数の侵入的な権限を要求するわけですが(システム情報、カメラデータ、通話ログ、連絡先リスト、位置情報、SMSメッセージ)、ユーザーにとっては、このことが逆に信頼性をもたらし「このデータ収集は、ユーザーの識別と不正防止の一環なのだ」と正当化されてしまうわけです。
さらに登録したユーザーは、ターゲット地域の電話番号を持っていることを確認するためにワンタイムパスワード(OTP)で検証されます。ユーザーは追加の身分証明書、銀行口座情報、雇用情報を提供することも求められ、これらはAES-128(電子商取引、オンラインバンキング、VPN、電子メールの暗号化など、多くのセキュリティアプリケーションで広く使用される暗号化アルゴリズム)を使用して暗号化された形式でC2サーバーに送信されます。
対策方法
これらのアプリによるリスクを軽減するためには、アプリの権限を確認し、レビューを精査し、ダウンロード前に開発者の正当性を確認することが重要です。セキュリティ研究者のフェルナンド・ルイズによれば、「SpyLoanのようなAndroidアプリは世界中のユーザーにとって、経済的なトラブルをもたらす脅威である。今現在、法執行機関の行動にもかかわらず、新たな運営者やサイバー犯罪者がこれらの詐欺活動を続けている」と述べています。
SpyLoanアプリは、世界中の異なる地域でも同じようなコードを使って運営されています。これらのアプリは、共通の開発者が作ったものか、あるいは共通フレームワーク(テンプレートのようなもの)を購入して使用している可能性があります。このような手法により、開発者および購入者は簡単に新しい市場に合わせた悪意のあるアプリを迅速に作り出すことができてしまうのです。
これらの脅威から身を守るために、ユーザーは常に警戒心を持ち、最新の情報を把握して、被害を未然に防ぐ必要があります。
出典
出典: The Hacker News. “8 Million Android Users Hit by SpyLoan Malware.” The Hacker News, 2024年12月. https://thehackernews.com/2024/12/8-million-android-users-hit-by-spyloan.html