人気のタグ
おすすめのサイト
企業ニュース

まだ存在しないはずのAndroid版「Clubhouse」に扮したトロイの木馬に要注意

2021.04.05

まだ存在しない「Clubhouse」Android版に扮したトロイの木馬に要注意

話題沸騰中の音声SNS「Clubhouse」は現状、iOS版のみ。Android版はリリースされていないはずなのだが、Android版Clubhouseを装ったトロイの木馬が発見されたという。

本稿では、現実にはまだ存在しないAndroid版Clubhouseを装ったトロイの木馬について言及した、イーセットジャパンの最新セキュリティニュースを以下にて紹介していく。

ESETが「Clubhouse」の人気に便乗し、マルウェアを拡散している攻撃を発見

サイバー犯罪者がClubhouseの人気に便乗し、さまざまなオンラインサービスに使われるユーザーのログイン情報窃取を目的にしたマルウェアを拡散しようとしていることが、ESETのマルウェアリサーチャーLukas Stefankoによって明らかになった。

Android版の招待制音声SNSアプリ(実際にはまだ存在しない)に扮した悪意のあるパッケージが、正規のClubhouseのウェブサイトを模倣したウェブサイトから提供されている。

ThreatFabricによって「BlackRock」と名付けられたトロイの木馬(ESETの検出名ではAndroid/TrojanDropper.Agent.HLR)は、少なくとも450以上のオンラインサービスで使用される被害者のログイン情報を取得する可能性がある。

ファイナンス、ショッピング、暗号通貨為替、ソーシャルメディア、メッセージプラットフォームといったさまざまな人気アプリが標的となっている。たとえば、Twitter、WhatsApp、Facebook、Amazon、Netflix、Outlook、eBay、Coinbase、Plus500、Cash App、BBVA、Lloyds Bank、これらすべてが標的として含まれている。

「ウェブサイトは本物のように見えます。正直なところ、正規のClubhouseのウェブサイトを巧妙にコピーした偽サイトです。ユーザーが『Get it on Google Play』ボタンをクリックすると、ユーザーのデバイスに自動でアプリのダウンロードが開始します。一方、正規のウェブサイトは、ウェブサイトからAPK と呼ばれるAndroidパッケージキットを直接ダウンロードさせるのではなくGoogle Playへリダイレクトします。」とStefankoはコメントした。

しかし、ボタンをクリックする前にいくつか不自然な兆候もある。接続が安全でなかったり(HTTPSではなくHTTP)、正規のアプリのトップレベルドメイン(TLD)で使われている『.com』ではなく『.mobi』が使われている(図1参照)。そのほか最も明らかなのは、ClubhouseはAndroid版アプリをもう間もなくリリースする予定だが、現時点ではiPhoneのみ利用可能だ。

図1. 偽サイト(左)と正規サイト(右)のURLの違い

被害者が騙されてBlackRockのダウンロードおよびインストールを実行すると、トロイの木馬はオーバーレイ攻撃を実行し認証情報を盗もうとする。ユーザーが標的とされたアプリのひとつを起動しようとすると、マルウェアはデータ窃取のオーバーレイ攻撃を行い、ユーザーにログインを要求する。もしくは、ログインの代わりに、ユーザーが知らない間に認証情報をサイバー犯罪者へ提供する。

SMSを利用した二要素認証(2FA)はアカウントへの不審な侵入を防止するが、今回の場合、マルウェアがテキストメッセージを傍受することができるため、必ずしもそうとは限らない。さらに、悪意のあるアプリは被害者にアクセシビリティサービスを有効にするように促し、実質的にサイバー犯罪者がデバイスを操作することを許可する。

図1に示した部分以外にも、悪意のある罠を見分ける方法は他にもある。Stefankoは、ダウンロードしたアプリの名称が『Clubhouse』ではなく『Install』になっていることも指摘した。

「これらが示すことは、おそらくこのマルウェア開発者はダウンロードしたアプリの偽装には手を抜いたのでしょう。一方で、将来的にはさらに洗練された模倣犯が出てくる可能性もあります。」とStenfankoは警告している。

図2. 『Install』のインストール表示

今回の件は、自身のモバイルセキュリティを見直す機会にもなる。モバイルセキュリティに関する注意点を改めて確認していただきたい。

・お使いのデバイスへアプリをダウンロードする際は公式ストアのみを利用する
・アプリへのアクセス許可は慎重に行う
・お使いのデバイスは常に最新のOSにする。理想としては、自動でアップデートならびにパッチが適用されるよう設定する
・可能であれば、SMSの代わりに、ワンタイムパスワード(OTP)を生成するソフトウェアもしくはハードウェアトークンを利用する
・アプリをダウンロードする前に、開発者、アプリの評価、そしてユーザー評価を確認する
・信頼できるモバイルセキュリティを利用する

出典元:イーセットジャパン株式会社

構成/こじへい

新型コロナウイルス対策、在宅ライフを改善するヒントはこちら

@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2021年4月15日(木) 発売

DIME最新号の特別付録は「スマホLIVEスタンド」! 特集は「投資の新常識」&「輸入食材スーパーの極上グルメ」

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 10401024号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。