Android ユーザーは、望んでいない、またはサインアップしていないプレミアム サブスクリプション サービスを無意識のうちに購入するマルウェアによる攻撃を受けています。Microsoft Securityのブログによると。
マイクロソフトの研究者ディミトリオス・ヴァルサマラス氏とサン・シン・ジョン氏のレポートの中で、両氏は「料金詐欺マルウェア」の継続的な進化と、それがAndroidユーザーとそのデバイスを攻撃する方法について詳述した。同チームによると、料金詐欺マルウェアは「悪意のあるアプリケーションがユーザーの知識や同意なしにプレミアムサービスに加入させる」請求詐欺のサブカテゴリーに分類され、「Androidマルウェアの中で最も蔓延しているタイプの1つ」だという。
料金詐欺はワイヤレス アプリケーション プロトコル (WAP) を介して行われ、消費者が有料コンテンツを購読し、その料金を電話料金に追加できるようになります。この攻撃はセルラー ネットワークに依存して汚いビジネスを実行するため、マルウェアはユーザーを Wi-Fi から切断したり、他の手段を使用してユーザーをセルラー ネットワークに強制的に接続したりする可能性があります。携帯電話ネットワークに接続している間、マルウェアはプレミアム サービスへの加入を開始すると同時に、本人確認のために送信されたワンタイム パスワード (OTP) も隠します。これは、ターゲットが登録を解除されないように、闇の中に閉じ込めておくためです。
料金詐欺マルウェアの進化ダイヤルアップの日危険な脅威をもたらすと研究者は警告しています。このマルウェアにより、被害者は多額の携帯料金を請求される可能性があります。さらに、マルウェアは検出を回避することができ、単一の亜種が削除されるまでに大量のインストールが完了する可能性があるため、影響を受けるデバイスのリスクも高まります。
そもそも、このマルウェアはどのようにして私のデバイスに侵入するのでしょうか?
このタイプの攻撃は、ユーザーが Google Play ストアでマルウェアを装ったアプリをダウンロードしたときに始まります。これらのトロイの木馬アプリは通常、パーソナライゼーション (壁紙やロック画面アプリ)、美容、エディター、コミュニケーション (メッセージング アプリやチャット アプリ)、写真、ツール (クリーナー アプリや偽のウイルス対策アプリなど) など、アプリ ストアの人気カテゴリにリストされます。研究者らは、これらのアプリは、何が行われているかを理解できない許可を要求する(つまり、カメラや壁紙アプリがSMSや通知を聞く権限を要求する)と述べている。
マッシュ可能な光の速度
これらのアプリの目的は、できるだけ多くの人にダウンロードされることです。 Valsamaras と Shin Jung は、攻撃者がアプリを Google Play ストアに保存しようとする一般的な方法をいくつか特定しました。
アプリケーションが十分な数のインストールを取得するまで、クリーン バージョンをアップロードします。
アプリケーションを更新して、悪意のあるコードを動的にロードします。
アップロードされたアプリケーションから悪意のあるフローを分離し、できるだけ長く検出されないようにします。
マルウェアから保護するにはどうすればよいですか?
Valsamaras 氏と Shin Jung 氏は、Google Play ストアの潜在的なマルウェアには、アプリをダウンロードする前に探すことができる共通の特徴があると述べています。上で述べたように、一部のアプリは、そのような権限を必要としないプログラムに対して過剰な権限を要求します。他に注意すべき特徴としては、似たような UI やアイコンを持つアプリ、偽物に見える開発者プロフィールや文法が不十分なアプリ、悪いレビューが多数付いているかどうかなどがあります。
潜在的なマルウェア アプリを既にダウンロードしていると思われる場合、一般的な兆候には、急速なバッテリーの消耗、接続の問題、常に過熱する場合、またはデバイスの動作が通常よりも大幅に遅い場合などがあります。
また両氏は、感染のリスクが高まる可能性があるため、Google Play ストアで公式に入手できないアプリをサイドローディングしないように警告した。その調査結果によると、2022 年第 1 四半期に Google Play ストアからインストールされた「有害な可能性があるアプリケーション」(PHA)の 34.8% が料金詐欺マルウェアであり、スパイウェアに次いで 2 番目でした。
Googleの透明性レポートによるとによると、インスタレーションのほとんどはインド、ロシア、メキシコ、インドネシア、トルコからのものだという。