Androidに深刻な脆弱性──ウォレットやオンラインバンキングの情報を盗まれる恐れ

ストランドホッグ(StrandHogg)」と呼ばれる新たに発見された脆弱性は、ハッカーがほぼすべてのアンドロイド・スマートフォンのプライベート・データにアクセスすることを可能にし、すでに銀行情報にアクセスすることに利用されている。

セキュリティ企業「プロモン(Promon)」が報告したこの脆弱性は、アンドロイドのすべてのバージョンが影響を受ける。

すでに36のアプリがこの脆弱性を悪用

ストランドホッグは特に新しいものではない。セキュリティ研究者らは2015年から概念実証バージョンを認識している。実際に稼働し、危険をはらむバージョンは、ここ1年インターネットで拡散しているマルウェアに利用され、最近登場したばかり。プロモンはその拡散度と危険性に気付き、情報提供用ページを開設した。

ストランドホッグは、アプリの立ち上げから初期画面への流れを妨げ、正規のアプリを実行する前に、マルウェアに強力な権限を与えることをユーザーに強いる。

「弊社研究者らは脆弱性を特定することに力を注いだが、同時にルックアウト・セキュリティ(Lookout Security)とも連携した。そしてこの弱点を悪用する36の悪意あるアプリを発見した」とプロモンのマーケティング&コミュニケーション担当ディレクター、ラーズ・ルンド・バークランド(Lars Lunde Birkeland)氏は述べた。

「我々は人気トップ500のアプリをテストした。そのすべてが脆弱だった」とバークランド氏は指摘した。

プロモンによると、アンドロイド10を含むすべてのバージョンのアンドロイドが影響を受け、パッチを当てて安全に思えるスマートフォンも脆弱な可能性がある。

許可ポップアップを悪用

ストランドホッグは、ほぼすべてのアンドロイド上で正規のアプリをハイジャックすることで動作する。初期画面やログインページを表示する代わりに、アプリが連絡先、位置情報、保存データにアクセスすることを許可するかをユーザーに確認する、いわゆる許可ポップアップ画面を表示する。

ユーザーが許可すると、マルウェアは正規のアプリの代わりにすべての権限を得てる。その間、アプリは何事もなかったかのように実行を続ける。

「被害者は正規のアプリをクリックする。だが、正規のアプリではなく、マルウェアはデバイスをだまして許可ポップアップ画面を表示させる。被害者がマルウェアと攻撃者に対して許可を与えると、その後、正規のアプリが表示される」とバークランド氏は説明した。

研究者らは、「バンクボット(BankBot)」と呼ばれるトロイの木馬がストランドホッグを利用して、SMSメッセージを傍受し、キープレスの記録をとり、電話を転送し、さらに身代金を払うまで電話をロックすることも可能にする強力な権限を得ていたことを発見した。

スマートフォンでオンラインバンキング、ファイナンス、ウォレットなどのアプリを利用するすべての人にとって懸念材料となる。

「オンラインバンキングアプリを狙った、よく知られたトロイの木馬で、世界中どこの国でも見られる」とバークランド氏は述べた。

ストランドホッグはまた、一部のアンドロイドのアプリの一部で偽のログインページも表示するが、許可ポップアップを悪用する手口の方がより一般的だ。

重大な事態

「脆弱性は極めて重大。攻撃者は、非常に強力な攻撃を仕掛けることができる」とバークランド氏。

プロモンは、「チェコ共和国の複数の銀行が、顧客の口座からお金がなくなっていることを報告した」時にマルウェアを発見したと研究者らは報告に記した。

「そこから調査を通じて、プロモンはアンドロイドの危険な脆弱性を悪用するためにマルウェアが利用されていたことを突き止めた。プロモンのパートナーであるルックアウトも、この脆弱性を悪用していた36の悪意あるアプリを特定した。その中には、2017年には見つけられていたオンラインバンキングアプリを狙ったバンクボット(BankBot)の亜種もあった」と研究者らは記した。

「グーグルは影響を受けたアプリを削除したが、我々の知る限りでは、(アンドロイド10を含む)すべてのバージョンのアンドロイドにおいて、この脆弱性はまだ修正されていない」

ストランドホッグと呼ばれる理由

ところで、なぜストランドホッグと呼ばれているのだろうか? それはプロモンがスウェーデンにルーツを持つことに関係している。

「この脆弱性はプロモンによって『ストランドホッグ』と名付けられた。これは、身代金目的で沿岸地域を襲うバイキングの戦略を意味する古いスカンジナビア語」と研究者らは記した。

グーグルの広報担当者は声明に以下のように記した。

「我々は研究者らの取り組みに感謝しており、彼らが特定した有害な恐れのあるアプリを一時的に削除した。Google Play Protectは、この手法を使うものを含む悪意あるアプリを検出し、ブロックする。さらに我々は、同様の問題からユーザーを守るGoogle Play Protectの能力を高めるために調査を続けている」

翻訳:山口晶子
編集:増田隆幸
写真:Image via Promon
原文:Global Android Vulnerability Could Grab Wallet and Banking Data