このスパイウェア「ClayRat」を自分のスマートフォンに近づけてはならない。もし侵入を許せば、セキュリティ専門家が最近警告しているように、「SMSメッセージや通話履歴を盗み、写真を撮影し、通話を発信し、連絡先リストに対して大量のSMSメッセージを送信することができてしまう」。
この警告を出しているのはZimperiumで、脅威と名指しされているのは、主にロシア語ユーザーをターゲットとするClayRatだ。ClayRatは、秋に初めて確認されたが、今や勢いを増して再び出現している。「ClayRatは以前のバージョンと比べて、より危険なスパイウェアです。以前は、被害者が感染に気づけばアプリをアンインストールしたり、端末の電源を切ったりすることができました」が、今回はそうはいかない。
このマルウェアはさまざまなアプリを経由して侵入しており、その多くはYouTubeなどの有名アプリの名称をコピーして偽装し、インストールさせようとする。「これまでに、非常に短い期間のうちに700件を超えるAPK(Androidのパッケージ)が検出されています」。
感染したアプリをインストールすると、アプリは標準のSMS権限を要求してくる。これだけでも十分に問題だが、さらにユーザー補助機能へのアクセスも要求してくる。これは考えうる限り最大級に危険な権限である。「必要な権限が付与されると、マルウェアは被害者側の一切の操作を必要とせず、画面上で一連のクリック操作を自動で実行し、Playストアを無効化します。これは、『Google Play プロテクト』が提供するセキュリティ保護を無効にするために行われます」。
ユーザー補助機能の利用が許可されると、ClayRatはロックスクリーンの認証情報――PINコード、パスワード、さらにはパターンロックまで――を盗み出すことができる。「パターンを描くためにタッチされたノードの順序を記録し、そのパターンをたどるのです」。
それが済むと、画面の録画、端末上の通知の傍受、オーバーレイの起動が可能になる。オーバーレイとは、本物のアプリや画面の上に重ねて表示される偽の画面のことであり、これにより攻撃者はユーザー名やパスワードが入力される際にそれらを盗み出すことができる。
Playストア以外からアプリをインストールしないこと
ここでの主な警告は、アプリをサイドロードしないこと――つまりPlayストア以外からインストールしないことだ。必ずPlayストアに限定してアプリを入手すべきである。そして、YouTube、Chrome、WhatsApp、TikTokといったメジャーなアプリを、グーグルの公式ストア以外のどこからも決してインストールしてはならない。
また、Playプロテクトを無効化しないようにすることも重要だ。たとえ、あるアプリのインストールのためにPlayプロテクトをオフにするよう求められても、それに応じてはならない。さらに――そしてこれは本当に重大な点だが――アプリにユーザー補助機能へのアクセス権限を決して与えてはならない。これらの機能は、特別な支援を必要とするユーザー向けに設計されたものだ。その対象でないのであれば、この種のシステムレベルのアクセスを必要とするアプリは自分の端末には存在しない。
今すぐ行動すべきだ――Playプロテクトが有効になっているか確認せよ。「Playストアアプリを開く。右上のプロフィールアイコンをタップする。『Play プロテクト』>『設定』(右上の歯車アイコン)をタップする」。そして、すべての項目が有効になっているかどうかを確認すること。
