研究者らが、Rokarollaと呼ばれる新しいAndroidバンキング型トロイの木馬を解析しました。このマルウェアはデバイスを事実上乗っ取り、200以上のアプリからバンキングおよび暗号資産のログイン情報を窃取できるほか、スマートフォン上での操作の多くをひそかに監視します。
感染したデバイス上で、Rokarollaはバンキングや暗号資産のログイン情報を盗み出します。また、偽のロック画面オーバーレイを使ってPIN、パターン、またはパスワードを取得します。
Rokarollaのターゲットリストにあるバンキングアプリや暗号資産アプリを開くと、マルウェアは本物のアプリの上に対応する偽のログインページをダウンロードして表示します。偽のページに入力されたユーザー名、パスワード、カード番号などの情報は、すべて攻撃者に送信されます。
さらに、RokarollaはAndroidのアクセシビリティ機能を悪用してデバイス全体の活動を監視します。「チャット」「通話」といったおなじみのラベルを認識することでWhatsApp画面を特定し、連絡先情報の抽出、SMSメッセージの読み取り、新規送信なども行えます。こうした機能により、ワンタイムパスワード(OTP)や二要素認証(2FA)コードの傍受も可能です。
Rokarollaはテキストメッセージや電話を制御下に置き、セキュリティアラートをブロックして不正行為の痕跡を隠します。
また、画面上の入力内容と表示内容をすべて記録することも可能です。暗号資産のウォレットアドレスをコピー&ペーストすると、マルウェアがひそかに攻撃者のアドレスに置き換えることがあります。
そのほか、アイコンを非表示にする、デバイスをサイレントにする、Google Play Protectをオフにする、画面のスリープを防ぐなど、マルウェアが発見されにくくするための機能も備えています。
感染経路
Rokarollaは不正なウェブサイトを通じて配布されており、TikTokやChromeなどの人気アプリの偽バージョンとして提供されます。
これらの悪意あるサイトは公式のGoogle Playストアへ誘導するのではなく、アプリを直接ダウンロードさせます。この手法はサイドローディングと呼ばれています。インストール後、偽アプリはGoogle Play Protectを装い、実際の攻撃を実行するマルウェアをひそかにダウンロード・インストールします。
必要なアクセス権を得るため、偽アプリはアクセシビリティアクセス、SMSメッセージの読み取り、通知へのアクセスなど、強力な権限を要求します。これらのリクエストは正当なものに見えることもあるため、リスクに気づかずに許可してしまうユーザーも少なくありません。
安全を守るために
Rokarollaのようなバンキング型トロイの木馬を避けるため、以下のガイドラインを守ってください。
- Google Play Protectやその他のシステムコンポーネントを装うアプリは信頼しないでください。これらを手動でインストールする必要はありません。
- デバイスには最新のリアルタイムのマルウェア対策ソフト(ウェブ保護機能付き)を導入してください。
- Google Playストアで入手できるアプリをサイドローディングしないでください。公式ストアでもマルウェアが紛れ込むことはありますが、それ以外の場所ではリスクがはるかに高くなります。
- リンクやウェブサイトからダウンロードしたアプリには強力な権限を与えないでください。特に、アクセシビリティアクセス、SMS権限、通話処理の権限などを求めてくる場合は注意が必要です。アプリの目的とかけ離れた権限であっても同様です。
- アクセシビリティアクセスの要求は、常に慎重に扱ってください。明らかなアクセシビリティツールでないアプリがこれを求めてきた場合は、リクエストを拒否し、そのソースが信頼できるかどうかを改めて確認してください。
- バンキングや暗号資産のログイン画面はよく確認してください。何か違和感があったり、ログインプロンプトが複数回表示されたりした場合は、アプリを閉じて公式アイコンから再起動してください。
詐欺師はあなたが思っている以上にあなたの情報を知っています。
Malwarebytes Mobile Securityは、フィッシング、詐欺テキスト、悪意あるサイトなどからあなたを守ります。AIを活用したリアルタイムの詐欺対策機能「Scam Guard」を標準搭載しています。
