Androidの銀行アプリを乗っ取るマルウェア「GodFather」とは?その巧妙な手口と対策(ライフハッカー・ジャパン)
GodFatherは、2021年にAndroidで初めて検出されました。 当時の手口は「オーバーレイ攻撃」と呼ばれるもので、正規の銀行アプリや仮想通貨取引所のアプリに偽のログイン画面を重ねて表示し、ユーザーを騙して金融口座の認証情報を入力させるというものでした。 この攻撃は、十数カ国の数百ものアプリを標的にしていたと推定されています。
しかし、セキュリティ企業Zimperiumが新たに発見したGodFatherの脅威は、単にログイン画面を偽装するレベルをはるかに超えています。 新しいバージョンのGodFatherは「仮想化」技術を使い、デバイス上に完全な仮想環境を構築してしまうのです。 その仕組みは、まず悪意のあるホストアプリケーションをインストールさせることからはじまります。 このホストアプリは、標的となる金融アプリがデバイスにインストールされているかをスキャンし、見つけると、そのアプリのコピーを自身のサンドボックス(*)内で実行できるようにダウンロードするのです。 (*編集部注:サンドボックスは、本来はセキュリティ対策で用いられる、アプリを安全に動作するように分離された仮想環境のこと。攻撃者はこれを悪用し、マルウェアを隠蔽します) ユーザーが標的となった金融アプリを開くと、画面には本物の銀行アプリのインターフェースが表示されますが、アプリ内で行われる操作は、すべてGodFatherにリアルタイムで傍受され、さらに攻撃者によって操作される可能性があります。 Bleeping Computer誌が指摘するように、このマルウェアは以下のことが可能です。 口座の認証情報、パスワード、PINコードの収集 銀行のバックエンドからの応答を傍受 ユーザーがアプリを使用していないときにもデバイスを遠隔操作し、銀行アプリや暗号通貨アプリ内で送金や支払いを実行 デバイス上のセキュリティチェックも回避 この脅威が深刻なのは、ユーザーが視覚的に見分けるのが難しいというだけではありません。ルート化検知のような、デバイス上のセキュリティチェックさえも回避できてしまう点にあります。 Androidの保護機能はホストアプリの活動しか見ることができず、マルウェアのアクティビティは隠されているのです。
Page 2
Zimperiumによると、現在、GodFatherは約500のアプリに影響を与えていますが、主にトルコの銀行を標的にしているとのこと。しかし、過去のバージョンがそうであったように、ほかの国へ拡大する可能性は十分に考えられます。 GodFatherやそのほかのAndroidマルウェアからデバイスを守るために、以下の基本的な対策を徹底することがこれまで以上に重要になります。 信頼できるソースからのみアプリをインストール:アプリのダウンロードとインストールは、Google Playストアなど信頼できる場所に限定しましょう。 提供元不明のアプリを無効:設定アプリから「アプリ」> 「特別なアプリアクセス」 > 「不明なアプリのインストール」へと進み、提供元が不明なアプリのインストール権限を無効にできます。 セキュリティ機能を有効に保つ:アプリのマルウェアをスキャンする「Google Play プロテクト」が有効になっていることを確認してください。有効かを確認するには、「Google Play ストア」からプロフィールアイコンをタップし、「Play プロテクト」>「Play プロテクトによるアプリのスキャン」から確認できます。そしてデバイスとアプリが常に最新の状態にアップデートされていることも見ておきましょう。 アプリの見直し:今こそ、デバイスにインストールされているアプリを見直し、使っていない、あるいは不要なアプリを削除しましょう。 GodFatherの攻撃メカニズムは非常に巧妙なため、マルウェアに感染しないための基本的な行動が不可欠。 メール、テキストメッセージ、SNSの投稿に含まれる添付ファイルを安易に開いたり、リンクをクリックしたりしないようにしましょう。また、マルウェアを拡散するために利用される広告のクリックも避けましょう。 Source: Malwarebytes, Zimperium, Bleeping Computer
ライフハッカー・ジャパン編集部
関連記事:
【特報】Googleが「Android」と「Chrome OS」を統合へ
