ESET/マルウェア情報局

Google Playに潜む偽物のファイナンスアプリ フィッシング詐欺の危険性

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された世界中のユーザーを狙った不正ファイナンスアプリがGoogle Play上にを再編集したものです

 Googleの公式アプリストアであるGoogle Playに、偽物のファイナンスアプリが紛れ込んでいることが明らかとなった。これらのアプリはニュージーランド、オーストラリア、英国、スイスおよびポーランドの銀行6社、オーストリアの仮想通貨取引所であるビットパンダに偽装。偽フォームを用い、クレジットカードの詳細情報やログイン認証情報が盗み出そうとするフィッシング詐欺が仕込まれていたのだ。

図1:Google Play上で見つかった6つの不正アプリ

Google Playで発見された6件の不正アプリ

 2018年6月、Google Playにアップロードされた不正アプリが、Googleが削除するまでに千回以上インストールされるという事態が発生した。このアプリは、それぞれ別のアイコンを装い、それぞれ別のデベロッパー名でアップロードされた。しかし、アプリを構成するソースコードが似ていたことから、同一犯によるものであることが判明するに至った。アプリはどうやらソースコードに難読化の処理を施していたため、不正検出のフィルターを潜り抜け、ストアへのアップロードに成功したようである。

 これら不正アプリの唯一の目的は、ITリテラシーが低いユーザーから機密情報を取得することにある。アプリの中には、標的にされた「ビットパンダ」などのサービスにおいて正規版のモバイルアプリがないことを悪用するものや、既存の正規アプリに偽装してユーザーをだまそうとするものもある。この記事の文末に、標的にされた銀行とサービスの全リストを掲載しているので参考にしてほしい。

不正アプリの挙動と表示する画面

 不正アプリを起動すると、銀行やサービスのログイン画面を装った画面へと誘導し、クレジットカードの詳細情報やログイン認証情報を入力するためのフォームが表示される (例については図2を参照)。ユーザーがこれらのフォームに情報を入力し送信ボタンをクリックすると、データが攻撃者のサーバーへと送信されてしまう。アプリ画面上には「おめでとうございます」や「ありがとうございます」といったメッセージが表示され、アプリはその任務を全うしたことになる(例については図3を参照)。

図2:フィッシング詐欺でクレジットカードの詳細やインターネットバンキングのログイン認証情報を盗み出すための偽フォーム

図3:不正アプリで表示される最終画面

これらの不正アプリから身を守るための対策とは?

 これらの不正アプリのいずれかをインストールしたり、使用してしまったかもしれないと感じたら、すぐにアンインストールすること。それこそがまずできる身を守る最善の方法だろう。

 そして、クレジットカードのPINコードやインターネットバンキングのパスワードを変更することが望ましい。合わせて、銀行口座に疑わしい取引履歴がないかをすぐさま確認すること。取引履歴に何らかのおかしい取引が見つかったら銀行に連絡をすべきだろう。実際、仮想通貨取引所の「ビットパンダ」はユーザーに向けて、不正アプリをインストールしたと思ったら、口座に疑わしい取引履歴がないか確認し、パスワードを変更するように案内している。

 フィッシング詐欺やその他の不正なファイナンスアプリなどに引っかからないためにやっておきたい対策

・現在利用している銀行やファイナンスサービスの公式ウェブサイトからリンクされて
 いるアプリのみを信用すること。

・Google Play公式ストアのみからアプリをダウンロードすること。
 ただし、公式ストア上に掲載されているからといってそのアプリが不正なものでない
 ことを保証するものではないことに注意が必要だ。ただし、一度公開されると削除さ
 れることがまずないサードパーティのアプリストアには不正アプリが多くアップロード
 されており、Google Playのほうが安全性は高い。

・Google Playからアプリをダウンロードする場合、ダウンロード数、アプリの評価や
 レビューに注意すること。

・入力フォームの安全性と送信先が信頼できる場合にのみ、機密情報を入力すること。

・Android端末を常に最新の状態に保ち、信頼できるモバイルセキュリティソリュー
 ションを採用すること。ESET製品なら、Android/Spy.Banker.AIFAndroid/Spy.Banker.
 AIEおよびAndroid/Spy.Banker.AIPといった不正なアプリを検出し、ブロックすること
 が可能だ。

標的にされた銀行とサービス

<オーストラリアとニュージーランド>
・オーストラリア・コモンウェルス銀行 (CommBank)
・オーストラリア・ニュージーランド銀行 (ANZ)
・ASB銀行

<イギリス>
・TSB銀行

<スイス>
・ポストファイナンス

<ポーランド>
・ザボドニWBK銀行 (2018年9月、サンタンデール・バンク・ポルスカに名称変更)

<オーストリア>
・ビットパンダ

不正アプリの痕跡(Ioc/Indicator of Compromise)

       
パッケージ ハッシュ値 ESET製品での検出名
cw.cwnbm.mobile 651A3734103472297A2C65C81757FB5820AD2AB7 Android/Spy.Banker.AIF
au.money.go DE09F03C401141BEB05F229515ABB64811DDB853 Android/Spy.Banker.AIF
asb.ezy.pay B6D70983C28B8A0059B454065D599B4E18E8097C Android/Spy.Banker.AIF
uk.mobile.tsb 91692607FB529218ADF00F256D5D1862DF90DAAF Android/Spy.Banker.AIF
ch.post.finance FE1B2799B65D36F19484930FAF0DA17A0DBE9868 Android/Spy.Banker.AIF
pl.mblzch C43E7A28E1B807225F1E188C6DA51D24DCC54F5F Android/Spy.Banker.AIE
www.bit.panda 7D80158C8C893E46DC15E6D92ED2FECFDB12BF9F Android/Spy.Banker.AIP

[引用・出典元]

Fake finance apps on Google Play target users from around the world by Lukas Stefanko posted 19 Sep 2018 - 02:58PM