無害な「おとり」をインストールさせ、後からアップデートを偽装し感染
Zscaler は次のように説明する。「Anatsaはドロッパー手法を用いています。脅威アクターは公式のGoogle Play ストアにインストール時は無害に見えるおとりアプリ(ダミーアプリ)を用意していますが、いったんインストールされると、Anatsaはcommand-and-control(コマンド・アンド・コントロール、C2)サーバーから、アップデートに偽装した悪性ペイロードを密かにダウンロードします。この方法により、AnatsaはGoogle Play ストアの検出メカニズムを回避し、端末への感染に成功するのです」。
advertisement
このドロッパーをインストールすると、マルウェアは解析用マシンやセキュリティソフトを回避するための各種チェックを実行する。本体の悪性コードを読み込む前に、端末上で妨げなく実行できる状況を可能なかぎり確保しようとするわけだ。
Anatsaは、標的となっている数百の銀行向けに、銀行アプリの偽ログイン画面を表示する。「これらのページは、ユーザー端末上で検出された金融機関アプリに基づいて調整されます」。このようにして盗まれた認証情報が、遠隔からの攻撃を可能にする。
もし疑わしいアプリをインストールしているなら削除
Anatsaは、Zscalerが特定してグーグルに報告したマルウェア脅威の1つにすぎない。報告されたアプリはすべてPlay ストアから削除されたが、自動的に端末から消えるわけではない。だからこそ、いま確認のために行動する必要がある。
advertisement
手軽な方法の1つは、権限マネージャーの確認から始めて、疑わしいものを洗い出すことだ。「Android利用者は、アプリケーションが要求する権限を常に確認し、それが当該アプリの意図された機能と整合していることを確かめるべきです」。
