Android malware

Google Playから6,000万件ダウンロードされた300以上の悪質なアンドロイド・アプリケーションが、アドウェアとして機能したり、認証情報やクレジットカード情報を盗み出そうとしていた。

この作戦はIAS Threat Labによって最初に発見され、悪意のある活動を「Vapor」という名前で分類し、2024年初頭から継続していると述べた。

IASは、Vaporキャンペーンの一部として180のアプリを特定し、大規模な広告詐欺に従事するために毎日2億の不正広告入札要求を生成した。

Bitdefenderが新たに発表したレポートでは、悪意のあるアプリの数が331に増加し、ブラジル、米国、メキシコ、トルコ、韓国で多くの感染が報告されている。

Bitdefenderは、「これらのアプリは、文脈を無視した広告を表示し、フィッシング攻撃で認証情報やクレジットカード情報を提供するよう被害者を説得しようとさえする」と警告している

これらのアプリはすべてGoogle Playから削除されましたが、脅威行為者はすでにGoogleの審査プロセスを迂回する能力を実証しているため、Vaporが新たなアプリを通じて再び登場する危険性がかなりあります。

Google Play上のVaporアプリ

Vaporキャンペーンで使用されたアプリは、健康やフィットネスのトラッキング、メモツールや日記、バッテリー最適化、QRコードスキャナなど、特殊な機能を提供するユーティリティです。

これらのアプリはグーグルのセキュリティ・レビューに合格している。その代わり、マルウェアの機能は、コマンド・アンド・コントロール(C2)サーバから配信されるアップデートを介して、インストール後にダウンロードされる。

Malicious apps on Google Play
Google Play上の悪意のあるアプリ
ソースはこちら:IAS Threat Lab

BitdefenderとIASが注目した事例をいくつか紹介します:

  • AquaTracker – 100万ダウンロード
  • ClickSave Downloader– 100万ダウンロード
  • Scan Hawk– 100万ダウンロード
  • Water Time Tracker– 100万ダウンロード
  • Be More– 100万ダウンロード
  • BeatWatch – 50万ダウンロード
  • TranslateScan – 100,000 ダウンロード
  • Handset Locator– 50,000ダウンロード。

これらのアプリは、様々なデベロッパーのアカウントからGoogle Playにアップロードされ、各デベロッパーは、テイクダウンされた場合に大きな混乱を招かないよう、ストアに数本のみプッシュしている。同様の理由で、各パブリッシャーは異なる広告SDKを使用している。

Vaporアプリのほとんどは2024年10月から2025年1月の間にGoogle Playで公開されたが、アップロードは3月まで続いた。

Time of app submission onto the Google Play store
Google PlayでのVaporアプリの公開
Bitdefender

悪意のある機能

悪意のあるVaporアプリは、インストール後にAndroidManifest.xmlファイルのLauncher Activityをオフにし、見えなくします。場合によっては、「設定」で名前を変更し、正規のアプリ(Google Voiceなど)として表示されます。

アプリはユーザーの操作なしで起動し、ネイティブコードを使用してセカンダリの隠しコンポーネントを有効にする一方、ランチャーを無効にしてアイコンを隠したままにします。

Bitdefenderのコメントによると、この方法は、アプリがアクティブになるとランチャーのアクティビティを動的に無効にすることを防ぐAndroid 13+のセキュリティ保護をバイパスします。

このマルウェアはまた、Android 13+の「SYSTEM_ALERT_WINDOW」権限制限を回避し、フルスクリーンオーバーレイとして機能するセカンダリ画面を作成します。

広告はこの画面に表示され、他のすべてのアプリの上にオーバーレイ表示されるため、ユーザーは「戻る」ボタンが無効になり、終了する手段がなくなる。

また、このアプリは「最近のタスク」からも自身を削除するため、ユーザーはどのアプリが今表示された広告を起動したのか判断できない。

Bitdefenderの報告によると、アプリの中には広告詐欺にとどまらず、FacebookやYouTubeの偽のログイン画面を表示して認証情報を盗んだり、様々な口実でクレジットカード情報の入力を促したりするものもあるという。

一般的にAndroidユーザーは、信頼できないパブリッシャーからの不要なアプリのインストールを避け、付与されたパーミッションを精査し、設定→アプリ→すべてのアプリを見るからアプリドロワーとインストールされたアプリのリストを比較することをお勧めします。

Google Playにアップロードされた331の悪質なアプリの完全なリストは、ここで入手できます。

これらのアプリをインストールしていることが判明した場合は、直ちに削除し、Google Playプロテクト(またはその他のモバイルAV製品)で完全なシステムスキャンを実行してください。

はGoogleにVaporキャンペーンに関するコメントを求めたが、発表までに声明は得られなかった。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。