「クリーナー系アプリ」に偽装　使用者の口座を標的にしたマルウェアが欧州を飛び出し拡大中

　Samsung製スマートフォンを標的としたトロイの木馬型マルウェア「Anatsa」の脅威が、欧州から東欧へと拡大していることが、セキュリティ関連企業のThreatFabricにより報じられている。

　Anatsaは「Google Play」にて、「ドロッパーアプリケーション」として配信されている。ドロッパーアプリケーションとは、それ単体は無害なアプリケーションを装いつつ、内包されたコードをもとに自身で不正なコードを含むファイルを生成したり、あるいはインターネット上から不正なプログラムをダウンロードするマルウェアだ。Anatsaのドロッパーアプリケーションは一時、Google Playの無料アプリのトップ3にランクインすることもあった。

　ThreatFabricによれば、2023年3月に検出されたAnatsaは当初、最初は英国、ドイツ、スペインを標的としていた。しかし2023年11月に入ると、ThreatFabricはその標的がスロバキアやスロベニア、チェコへと拡大していることを確認したという。

　もともとは無害なアプリをリリースし、アップデートで不正なコードを追加する手口でストアの審査をかいくぐっていたAnatsa。今回報告された例ではいわゆる「クリーナー系アプリ」に偽装していたようで、その手口自体も進化していたようだ。

　たとえば高齢者や障がいのあるユーザーをサポートするための機能である「AccessibilityService（アクセシビリティサービス）」を悪用したり、多段階の感染プロセスを取り入れたり、「Android 13」の制限された設定をバイパスするケースもあるという。

　ThreatFabricによれば、今回の報告ではAnatsaはSamsungのデバイスを標的としていたようだ。一方で、将来的に他のメーカーのデバイスを標的とする可能性もあるという。ThreatFabricは金融機関に対し、公式ストアからであっても、アプリケーションをインストールするリスクを顧客に通知し、また必要のないアプリケーションにたいして「AccessibilityService」を有効にしないようにアドバイスしている。

　現時点では、Anatsaはヨーロッパの銀行やユーザーを標的としている。とはいえ、その発展形が日本を含めたアジア地域において脅威になる可能性もある。今後の動向に注視しつつ、アプリのダウンロードや権限の許可には極力気をつけていただきたい。

〈Source〉
https://www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach
https://www.forbes.com/sites/zakdoffman/2024/02/19/samsung-update-warning-galaxy-s23-galaxy-s24-google-pixel-android/