研究者らは、「Rokarolla」と呼ばれるAndroid トロイの木馬を分析した。このトロイの木馬は、端末を事実上乗っ取り、200以上のアプリから銀行や仮想通貨のログイン情報を盗み出し、スマートフォンでの操作の多くを密かに監視することができる。
感染した端末上で、Rokarollaは銀行や仮想通貨のログイン情報を盗み出します。また、偽のロック画面オーバーレイを使用して、PIN、パターン、またはパスワードを盗み取ります。
Rokarollaの標的リストにある銀行アプリや仮想通貨アプリを開くと、マルウェアがダウンロードされ、本物のアプリの上にそれに対応した偽のログインページが表示されます。ユーザー名、パスワード、カード番号など、偽のページに入力した情報はすべて攻撃者に送信されます。
また、Android悪用して、デバイス全体の動作を監視します。このマルウェアは、「チャット」や「通話」といった見慣れたラベルを検知することでWhatsAppの画面を識別し、連絡先情報を抽出したり、SMSメッセージを読み取ったり、新しいメッセージを送信したりすることができます。こうした機能により、ワンタイムパスワード(OTP)や二要素認証(2FA)のコードを傍受することが可能になります。
Rokarollaは、テキストメッセージや電話の制御が可能であり、セキュリティアラートをブロックしたり、不正の兆候を隠したりするのに役立ちます。
また、ユーザーが入力した内容や画面に表示される情報をすべて記録することも可能です。仮想通貨ウォレットのアドレスをコピーして貼り付けると、このマルウェアはそれを攻撃者のアドレスにこっそりと置き換えてしまう可能性があります。
このマルウェアには、アイコンを非表示にしたり、デバイスの音声をミュートにしたり、Google Play Protect を無効にしたり、画面がスリープ状態になるのを防いだりする機能など、その存在を隠蔽するためのその他の機能も備わっています。
感染の仕組み
Rokarollaは、TikTokやChrChromeといった人気アプリの偽アプリとして提供されている、悪質なウェブサイトを通じて配布されています。
これらの悪意のあるサイトは、ユーザーをGoogle Playストアの公式サイトへ誘導する代わりに、アプリを直接ダウンロードするよう促します。このプロセスは「サイドローディング」と呼ばれています。インストールが完了すると、この偽アプリはGoogle Play Protectを装い、攻撃を実行するマルウェアを密かにダウンロードしてインストールします。
必要なアクセス権を取得するため、この偽アプリは、アクセシビリティへのアクセス、SMSメッセージの読み取り権限、通知へのアクセスなど、強力な権限を要求してきます。これらの要求は正当なものに見えるため、多くのユーザーはリスクに気づかずに承認してしまう可能性があります。
安全に過ごすには
Rokarollaのようなバンキング型トロイの木馬に感染しないためには、以下のガイドラインに従う必要があります:
- 「Google Play Protect」やその他のシステムコンポーネントを名乗るアプリは信用しないでください。こうしたアプリを手動でインストールする必要は決してありません。
- お使いのデバイスで、最新のリアルタイムマルウェア対策機能とウェブ 保護機能を活用してください。
- Google Playストアで入手可能なアプリは、サイドロードしないでください。公式ストアにもマルウェアが混入することがありますが、他の場所ではそのリスクがはるかに高くなります。
- リンクやウェブサイトからダウンロードしたアプリに対して、特に、そのアプリの記載された目的とは一致しないにもかかわらず、アクセシビリティへのアクセス、SMSの権限、または通話の処理機能などを要求してくる場合は、強力な権限を許可しないでください。
- 実際、アクセシビリティへのアクセスに関するリクエストは、すべて慎重に扱う必要があります。明らかにアクセシビリティツールではないアプリからそのようなリクエストがあった場合は、そのリクエストを拒否し、そのアプリを信頼できるかどうかを改めて検討してください。
- 銀行や仮想通貨のログイン画面を注意深く確認してください。何かおかしいと感じたり、ログイン画面が複数表示されたりした場合は、アプリを閉じて、公式のアイコンから再起動してください。
詐欺師たちは、あなたが思っている以上にあなたのことを知っています。
Malwarebytes Mobile Security 、フィッシング、詐欺SMS、悪意のあるサイトなどからユーザーをMobile Security 。AIを活用したリアルタイムの「Scam Guard」機能が標準搭載されています。
