Androidにマルウェアがスマホを乗っ取る脆弱性「StrandHogg」が発見される、既に一部銀行口座からは盗難被害も

Androidにマルウェアがスマホを乗っ取る脆弱性「StrandHogg」が発見される、既に一部銀行口座からは盗難被害も

  • GIGAZINE
  • 更新日:2019/12/03
No image

Androidの脆弱性「StrandHogg」が、セキュリティ研究者らによって発見されました。この脆弱性を悪用されると、悪意のあるアプリが写真の撮影、SMSメッセージの読み取りと送信、電話の録音、銀行の口座情報やログイン資格情報の抜き取りなどが可能になるとのことです。

StrandHogg: Serious Android vulnerability leaves most apps vulnerable to attacks.

https://promon.co/security-news/strandhogg/

Vulnerability in fully patched Android phones under active attack by bank thieves | Ars Technica

https://arstechnica.com/information-technology/2019/12/vulnerability-in-fully-patched-android-phones-under-active-attack-by-bank-thieves/

セキュリティ企業Promonの研究チームによると、問題となった脆弱性は 、Android上でマルチタスクを可能にするための「TaskAffinity」と呼ばれるコントロール設定に存在するとのこと。悪意のあるアプリは、この仕様を不正に利用し、信頼できるサードパーティー製アプリのパッケージ名と一致するように1つまたは複数のアクティビティのTaskAffinityを設定します。

No image

そして、スプーフィングされたアクティビティを別のallowTaskReparentingアクティビティと組み合わせるか、または悪意のあるアクティビティをインテントで起動します。すると、悪意のあるアプリは、対象のタスクの内部および上部に配置されるとのこと。これによって、悪意のあるアプリはユーザーに気づかれることなく、さまざまな情報へのアクセスが可能になるというわけです。

No image

Promonの研究チームによると、Strandhoggの特定ができたのは、「チェコにある複数の銀行で顧客の口座からお金が引き下ろされる事件が起こっている」と東ヨーロッパのセキュリティ会社から報告されたことがきっかけだとのこと。なお、アプリが脆弱性を突いてスマートフォンを乗っ取ってお金を奪ってしまうところから、研究チームはヴァイキングの戦術からStrandHoggと名付けたと述べています。

研究チームは、StrandHoggを悪用するマルウェアの研究を行い、500件以上の人気アプリはすべてリスクにさらされており、Androidの全バージョンが影響を受けると発表しました。また、脆弱性を実際に悪用しているアプリも36個が特定されたとのこと。ただし、見つかったアプリはどれもGoogle Playでは取り扱われていないそうです。

なお、脆弱性をアプリが悪用しようとする兆候として、研究チームは以下を挙げて注意を促しています。

・すでにログインしているアプリやサービスがログインを要求する。

・アプリ名を含まずに何かしらの許可を求めるポップアップが表示される。

・「電卓アプリがGPSの許可を求める」など、本来必要としない許可を求めてくる。

・アプリのユーザーインターフェースに誤字脱字が見られる。

・アプリのユーザーインターフェースのボタンやリンクをタップしても何も起こらない。

・Androidの「戻る」ボタンが思ったように機能しない。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

アプリカテゴリの人気記事

グノシーで話題の記事を読もう!
Apple、2019年に最もダウンロードされたゲームアプリを発表
【今日の無料アプリ】120円→無料♪背景もお天気に連動する直感的なお天気アプリ!「InstaWeather」他、2本を紹介!
『けものフレンズ3』「Google Play ベストオブ 2019」キュート&カジュアル部門を受賞!“絨毯(ブルー)”をユーザー全員にプレゼント
GoogleのAI音声認識の自動文字起こしがPixel 3/3aでも利用可能に
TikTok、「無遠慮な」いじめ防止方針を撤回 障害者らの投稿に閲覧制限
  • このエントリーをはてなブックマークに追加