- ClayRatマルウェアは人気アプリを模倣し、データを盗み被害者の連絡先リストを通じて拡散
- AndroidのSMSハンドラーロールを悪用し、権限を回避して機密情報にアクセス
- 600以上の亜種が発見されており、ユーザーは信頼できるアプリストアを利用し、ウイルス対策ツールを使うべき
新たなAndroidのマルウェアの亜種が人気アプリを装い、機密ファイルを盗みさらに拡散しています。
セキュリティ企業Zimperiumの専門家はClayRatを明らかにし、主にロシアのユーザーを標的に、WhatsApp、TikTok、Googleフォト、YouTubeなどの人気Androidアプリを偽装し、主にTelegramチャンネルや独立したフィッシングサイトを通じて配布されていると報告しています。
タイポスクワッティングを利用し、これらのフィッシングサイトは被害者に正規のページだと思い込ませ、マルウェアがホストされているTelegramチャンネルへリダイレクトします。
安全を守る方法
被害者がClayRatをインストールすると、AndroidのデフォルトSMSハンドラーロールを悪用し、通常の実行時権限プロンプトを回避して警告を出さずに機密データへアクセスします。
「アプリにこのロールが付与されると、SMSの内容やメッセージ機能への広範なアクセスが可能となり、スパイウェアはテキストメッセージを大規模に読み取り、保存し、転送できます」とZimperiumは説明しています。「個別の実行時権限が機能ごとに承認を必要とするのに対し、SMSハンドラーロールは複数の強力な機能を1つの認可ステップにまとめます。」
流出を狙う機密データには、SMSメッセージ、通話履歴、端末データ、前面カメラで撮影した写真などが含まれます。情報を盗み出した後、マルウェアは被害者の電話帳内すべての連絡先に悪意あるダウンロードリンクを送信し、感染した端末を強力な拡散拠点へと変えます。
ClayRatの背後にいる人物も活発に活動しているとZimperiumは述べています。過去3か月だけでも、研究者は600以上の亜種と50種類以上のドロッパー(それぞれ異なる難読化レイヤーを持つ)を発見しました。しかし、これはこの脅威アクターに特有の手法ではなく、むしろ「モバイル脅威の進化速度と巧妙化」の証拠だと考えられています。
「ClayRatは、攻撃者がこれまで以上に速く進化し、ソーシャルエンジニアリング、自動拡散、システム悪用を組み合わせてリーチを最大化していることを示しています」とZimperiumのCEO、Shridhar Mittal氏は述べています。
このような脅威から身を守るには、GoogleのPlayストアやAppleのApp Storeなど、信頼できるソースからのみアプリをダウンロードしてください。
ダウンロード数、全体の評価スコア、いくつかのユーザーコメントを確認するなど、ちょっとした注意も有効です。
最後に、モバイル用ウイルス対策ソリューションを導入しておくこと、そして各アプリに付与する権限にも注意を払うことが大切です。
