話題の音声SNS「Clubhouse」を装ったAndroidトロイの木馬にご注意
Twitter, Facebook, Amazon, Netflixなど450以上のアプリのログイン情報を窃取し、SMSを使った二要素認証を回避するマルウェアを確認
Twitter, Facebook, Amazon, Netflixなど450以上のアプリのログイン情報を窃取し、SMSを使った二要素認証を回避するマルウェアを確認
サイバー犯罪者がClubhouseの人気に便乗し、さまざまなオンラインサービスに使われるユーザーのログイン情報窃取を目的にしたマルウェアを拡散しようとしていることが、ESETのマルウェアリサーチャーLukas Stefankoによって明らかになりました。
Android版の招待制音声SNSアプリ(実際にはまだ存在しない)に扮した悪意のあるパッケージが、正規のClubhouseのウェブサイトを模倣したウェブサイトから提供されています。ThreatFabricによって「BlackRock」と名付けられたトロイの木馬(ESETの検出名ではAndroid/TrojanDropper.Agent.HLR)は、少なくとも450以上のオンラインサービスで使用される被害者のログイン情報を取得する可能性があります。
ファイナンス、ショッピング、暗号通貨為替、ソーシャルメディア、メッセージプラットフォームといったさまざまな人気アプリが標的となっています。たとえば、Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA, Lloyds Bank、これらすべてが標的として含まれています。
「ウェブサイトは本物のように見えます。正直なところ、正規のClubhouseのウェブサイトを巧妙にコピーした偽サイトです。ユーザーが『Get it on Google Play』ボタンをクリックすると、ユーザーのデバイスに自動でアプリのダウンロードが開始します。一方、正規のウェブサイトは、ウェブサイトからAPK と呼ばれるAndroidパッケージキットを直接ダウンロードさせるのではなくGoogle Playへリダイレクトします。」とStefankoはコメントしました。
しかしボタンをクリックする前にいくつか不自然な兆候もあります。接続が安全でなかったり(HTTPSではなくHTTP)、正規のアプリのトップレベルドメイン(TLD)で使われている『.com』ではなく『.mobi』が使われています(図1参照)。そのほか最も明らかなのは、ClubhouseはAndroid版アプリをもう間もなくリリースする予定ですが、現時点ではiPhoneのみ利用可能です。
被害者が騙されてBlackRockのダウンロードおよびインストールを実行すると、トロイの木馬はオーバーレイ攻撃を実行し認証情報を盗もうとします。ユーザーが標的とされたアプリのひとつを起動しようとすると、マルウェアはデータ窃取のオーバーレイ攻撃を行い、ユーザーにログインを要求します。もしくは、ログインの代わりに、ユーザーが知らない間に認証情報をサイバー犯罪者へ提供します。
SMSを利用した二要素認証(2FA)はアカウントへの不審な侵入を防止しますが、今回の場合、マルウェアがテキストメッセージを傍受することができるため、必ずしもそうとは限りません。さらに、悪意のあるアプリは被害者にアクセシビリティサービスを有効にするように促し、実質的にサイバー犯罪者がデバイスを操作することを許可します。
図 1に示した部分以外にも、悪意のある罠を見分ける方法は他にもあります。Stefankoは、ダウンロードしたアプリの名称が『Clubhouse』ではなく『Install』になっていることも指摘しました。「これらが示すことは、おそらくこのマルウェア開発者はダウンロードしたアプリの偽装には手を抜いたのでしょう。一方で、将来的にはさらに洗練された模倣犯が出てくる可能性もあります。」とStenfankoは警告しています。
今回の件は、ご自身のモバイルセキュリティを見直す機会にもなります。モバイルセキュリティに関する注意点を改めてご確認ください。
モバイルセキュリティに対する脅威からご自身を保護するためのより詳しい情報は、こちらのブログ記事(英語のみ)をご覧ください。
ESETはAndroid版モバイルセキュリティを提供しています。詳細はこちらをご覧ください。