Androidユーザーの個人情報を盗むマルウェア「ペルセウス」、パスワードから暗号フレーズまで標的

ジャカルタ - Androidエコシステムに新たな脅威が再び迫っています。ペルセウスと呼ばれるマルウェアは、パスワードから暗号化されたリカバリフレーズまで、機密データを盗むために個人記録アプリケーションを積極的にスキャンして、デバイスに侵入できることが報告されています。

サイバーセキュリティ企業ThreatFabricの最新のレポートでは、Perseusは人気のあるストリーミングアプリケーションを装ったトロイの木馬の一種と呼ばれています。このマルウェアはGoogle Playストアを介して流通していませんが、非公式のアプリストアとサードパーティのAPKファイルを介して配布されています。

犯罪者は、違法なアプリケーション、特に違法なスポーツ放送を見るためのIPTVサービスをダウンロードするユーザーの習慣を利用します。アプリケーションの外観の背後には、アプリケーションがデバイスにインストールされるとすぐに動作し始める危険なペイロードが隠されています。

一般的にOTPコードを盗むか、キーストロークを記録する従来の銀行トロイの木馬とは異なり、ペルセウスはより侵襲的なアプローチを採用しています。このマルウェアは、アクセシビリティサービス機能を利用して、ユーザーのメモアプリケーションをシステム的に開いて検索します。

目標は単なるアプリケーションではありません。ペルセウスは、Google Keep、Samsung Notes、Evernote、Microsoft OneNoteなどの一般的なサービスを具体的にターゲットとしています。さらに、Xiaomi Notes、ColorNote、Simple Notesなどのアプリケーションもターゲットリストに含まれています。

このアプリケーションから、マルウェアはテキストの内容を読み込み、アカウントのパスワード、銀行の詳細、暗号化ウォレットのリカバリフレーズなど、ユーザーがアクセスしやすくするために個人メモに保存するデータを含む重要な情報を検索します。

研究者は、これはAndroidマルウェアが、システムを介して通過するデータだけでなく、ユーザーが手動で整理したレコードからデータを抽出するように特別に設計された最初のケースの1つであると述べています。

アクションを実行する前に、ペルセウスは、ハードウェアの状態、バッテリーの状態、インストールされているアプリケーションの数を含む、デバイスのチェックのシリーズを実行します。このステップは、検出を回避し、ターゲットが十分に「適格」であることを確認するために、悪用されることが疑われています。

現在、ペルセウス攻撃キャンペーンは、トルコとイタリアのユーザーをターゲットにしていることが確認されており、数十の地元金融機関と暗号サービスに焦点を当てています。しかし、サイドローディングに依存する配布パターンは、グローバルな拡散の可能性を維持しています。

セキュリティ専門家は、公式ストア以外のアプリケーションをダウンロードすることは、この脅威の侵入の主要な隙間であると警告しています。ユーザーは、Google Playストアなどの公式ソースを使用し、信頼できないソースからAPKファイルをインストールしないことをお勧めします。