Android 14・15・16に影響するゼロインタラクション(ユーザーの操作を一切必要としない)型のセキュリティ脆弱性が確認され、数億人のグーグルユーザーが依然その対応に追われている。
疑いの余地はない。脅威アクター(攻撃を仕掛ける者)はスマートフォン、とりわけAndroidユーザーを好む。アクティブなAndroidスマートフォンは推定40億台に上り、iPhoneユーザーの15億人と比較しても、その数字だけで極めて魅力的な標的となる。だからこそ、最近報告されパッチが適用されたようなゼロインタラクション型のセキュリティ脆弱性は、大きな影響力を持つのである。しかし、CVE-2026-0049が引き起こせたのはサービス拒否(DoS)攻撃だけだった。
もちろん、それ自体も深刻な事態ではあるが、セキュリティ研究企業ジンペリウム(Zimperium)による最新レポートは、まったく別次元のものである。
新たに公表された脅威インテリジェンスレポートによれば、Android向けバンキング型トロイの木馬の活動が急増しており、4つの攻撃活動がPINコードを盗み取るマルウェアを用いて800を超えるAndroidアプリを標的にしているという。安全を確保するために知っておくべきこと、そして取るべき対策を以下に示す。
銀行・暗号資産・ソーシャルメディア分野、800以上のアプリが標的
ジンペリウムの脅威インテリジェンスは4つの異なる攻撃活動を特定しており、同社によれば、それらは「銀行、暗号資産、ソーシャルメディア分野にまたがる800以上のアプリを標的にしている」という。ただし、そのペイロード(攻撃の実行部分)はDoS攻撃ではなく、レポートによれば「認証情報の窃取、不正な金融取引、大規模なデータ流出」だとされる。
偽の画面を用いて、ロック画面のPINコードをリアルタイムで窃取する
RecruitRat、SaferRat、Astrinox、Massivと名付けられた4つの攻撃活動すべてに共通するのは、画面に重ねて表示される偽の画面を用いて、ロック画面のPINコードをリアルタイムで窃取する手口である。研究者らによれば、こうした攻撃手法は「攻撃者がローカルのセキュリティ対策を回避し、生体認証の変更を承認し、デバイスへのリモート管理権限を維持する」ことを可能にするという。
RecruitRat、SaferRat、Astrinox、Massiv
当然ながら、これらの攻撃活動の初期攻撃経路がフィッシングであることに、驚きはない。この4つの脅威について、ジンペリウムのインテリジェンスが指摘したのは、偽のセキュリティ更新、人気アプリのクローン、そしておなじみの「話がうますぎるプロモーション」である。
RecruitRatは、ほぼ採用関連の餌のみを用いているようで、偽の求人プラットフォームを手口に利用している。SaferRatは、動画配信サービスやソフトウェアへの無料アクセスを謳う偽サイトを通じて拡散されていることが確認されている。Astrinoxは正規の業務効率化プラットフォームを模倣する傾向があるのに対し、Massivは拡散経路が不明である。「分析されたサンプルには、感染経路を追跡するために通常埋め込まれる痕跡データや『ドロッパー』(マルウェアを送り込む仕掛け)のロジックが欠けており、配信手段がマルウェアの中核ロジックから切り離されている可能性を示している」という。
手法自体は、既知かつありふれたソーシャルエンジニアリングを活用
詳細をすべて知りたい読者には、ジンペリウムの技術分析レポート全文を読むことをお勧めするが、要点はシンプルである。これらのキャンペーンはいずれも、既知かつありふれたソーシャルエンジニアリング(人の心理的隙を突く手法)の技術を活用して最初の足がかりを得たうえで、PINコードの窃取とデータ流出に必要なマルウェアを送り込んでいるのだ。攻撃者がフィッシング・キャンペーンでAIを活用しているという脅威も踏まえ、セキュリティ衛生の基本を徹底していただきたい。
グーグル提供の「詐欺対策ワークアウト」や「セキュリティ診断」をお勧め
筆者はグーグルにコメントを求めているが、それまでの間、ソーシャルエンジニアリングの検知能力を高めるためにグーグル自身が提供する「詐欺対策ワークアウト」テストを活用すること、および利用可能な保護機能を有効化できているかを確認するためにグーグルのセキュリティ診断を実施することをお勧めする。
