偽Google Playで資産流出の恐れ、Androidマイニングマルウェアが登場

ブラジルを中心にGoogle Playストアを装った偽のウェブサイトを通じてAndroid端末にマルウェアを感染させるフィッシング詐欺が拡大しています。このマルウェアは端末を仮想通貨マイニングマシンに変貌させるだけでなくバイナンスやTrust Walletなどの主要なウォレットアプリを標的とした銀行トロイの木馬としても機能します。

攻撃はGoogle Playと酷似したデザインのフィッシングサイトから始まります。例えば、ブラジルの社会保障サービスに関連すると称する「INSS Reembolso」などの偽アプリをダウンロードさせます。UX/UIデザインは本物そっくりに作られており、ユーザーに安心感を与えてインストールを促す仕組みです。

インストール後、マルウェアは多段階で隠しコードを展開。実行コードを直接メモリ上に読み込むため、デバイス内に不審なファイルが残らず検知が非常に困難です。またセキュリティ研究者による解析を避けるため、エミュレータ環境を検知すると動作を停止する機能も備えています。

このマルウェアの主な目的の一つは仮想通貨「Monero（XMR）」のマイニングです。ARMデバイス向けにコンパイルされたマイニングソフト「XMRig」をバックグラウンドで実行します。またAndroidの省電力機能による自動停止を防ぐため、無音のオーディオファイルをループ再生し続けるという巧妙な手法も取られています。

このマルウェアはGoogleの正規サービスである「Firebase Cloud Messaging」を利用して攻撃者からの指令を受け取ります。これにより画面キャプチャや音声録音、SMSの送信、位置情報の取得といったリモート操作も可能となっており、ユーザーは公式のGoogle Playストア以外からアプリをダウンロードしないよう改めて注意が必要です。