Last Updated on 2025-06-20 08:47 by TaTsu
サイバーセキュリティ研究者らが、3つの新たなAndroidマルウェアによる大規模攻撃を確認した。
サイバーセキュリティ企業PRODAFTが2025年6月19日に発表した報告によると、金銭的動機を持つ脅威アクターLARVA-398が運営するAntiDotは、273のキャンペーンで3,775台のデバイスを侵害した。AntiDotは2024年5月に初めて文書化され、同年12月にZimperiumがAppLite Banker亜種を発見、現在11の活発なC2サーバーが稼働している。
米国のZimperiumの研究者Fernando OrtegaとVishnu Pratapagiriは、GodFatherバンキングトロイの木馬の新版を発見した。このマルウェアはオンデバイス仮想化技術を使用し、現在12のトルコ金融機関を標的としている。世界的には約500のアプリケーションを対象とし、2023年12月にPromonが文書化したFjordPhantomと類似の仮想化機能を持つ。
ロシアのサイバーセキュリティ会社F6の研究者Alexander Koposovは、SuperCard Xマルウェアがロシアユーザーを標的とする初の事例を確認した。このマルウェアは正規ツールNFCGateの悪意ある改変版で、NGateマルウェアとコードレベルで実質的な重複を共有する。
さらに、Google Play StoreとApple App Storeで悪意のあるアプリが発見された。Check Pointの報告によると、RapiPlataは15万回ダウンロードされ、コロンビアユーザーを主な標的としている。
From: 
New Android Malware Surge Hits Devices via Overlays, Virtualization Fraud and NFC Theft
【編集部解説】
今回報告された3つのAndroidマルウェアは、モバイルセキュリティの脅威が新たな段階に入ったことを示しています。特に注目すべきは、従来の手法を大きく超えた技術革新が悪用されている点です。
仮想化技術の悪用が示すパラダイムシフト
GodFatherマルウェアが採用した「オンデバイス仮想化」は、これまでのオーバーレイ攻撃とは根本的に異なります。従来のマルウェアは偽のログイン画面を表示して認証情報を盗む手法でしたが、GodFatherは被害者のデバイス内に完全な仮想環境を構築し、正規のバンキングアプリそのものを仮想空間で実行させます。
この技術は2023年12月にPromonが文書化したFjordPhantomと類似しており、モバイル脅威機能における重要なパラダイムシフトを表しています。ユーザーは本物のアプリを操作していると完全に信じ込んでしまい、Android OSの保護機能も検知が困難になっています。
MaaSエコシステムの高度な産業化
AntiDotの事例では、LARVA-398という脅威アクターが運営するMalware-as-a-Service(MaaS)プラットフォームの高度化が明らかになりました。11のC2サーバーが273のキャンペーンを統括し、3,775台のデバイスを制御する規模は、サイバー犯罪の完全な産業化を物語っています。
特筆すべきは、MeteorJSを使用したリアルタイム制御パネルの存在です。6つのタブ(Bots、Injects、Analytic、Settings、Gates、Help)を持つこのパネルにより、犯罪者は被害者のデバイスを即座に操作でき、通知の抑制や通話の傍受まで可能になっています。
NFC技術の物理的脅威への転換
SuperCard Xマルウェアは、デジタル攻撃が物理世界に直接影響を与える新たな脅威モデルを示しています。正規ツールNFCGateの悪意ある改変版として、NFCリレー攻撃により被害者の物理的なカードデータを遠隔地の攻撃者に中継し、リアルタイムでATM引き出しや店舗決済を実行する仕組みです。
この攻撃手法は、従来のオンライン詐欺とは異なり、物理的な金融インフラを直接標的とする点で革新的といえます。イタリアで初めて確認され、現在ロシアにも拡散している状況は、地理的な拡大パターンを示しています。
公式ストアの信頼性への根本的挑戦
Check Pointの報告によるRapiPlataのようなSpyLoanアプリが公式のGoogle Play StoreとApple App Storeで15万回ダウンロードされた事実は、アプリストアの審査体制に重大な課題があることを浮き彫りにしています。
これらのアプリは正規の金融サービスを装いながら、SMS、通話履歴、カレンダーなどの機密データを無制限に収集していました。特にコロンビアユーザーを標的とした地域特化型の攻撃は、ローカライゼーションされた脅威の増加を示唆しています。
長期的な影響と防御メカニズムの必要性
セキュリティ研究者Ziv Zeiraが指摘するように、「権限昇格を防ぎ、悪意のあるまたは過度に権限を持つアプリケーションに対してAndroidエコシステムを保護するには、ユーザーの意識や反応的なパッチ適用以上のものが必要であり、積極的で、スケーラブルで、インテリジェントな防御メカニズムを要求する」状況となっています。
企業においては、BYOD(Bring Your Own Device)政策の根本的な見直しが急務となるでしょう。従業員の個人デバイスが企業システムへのアクセスポイントとなっている現状では、これらの高度なマルウェアが企業ネットワークに侵入するリスクが格段に高まっています。
今後は、デバイスレベルでの仮想化検知技術や、NFC通信の異常検知システムの開発が重要になると予想されます。また、ユーザー教育においても、従来の「怪しいリンクをクリックしない」といった単純な対策を超えた、より高度な脅威認識が求められる時代に入ったといえるでしょう。
【用語解説】
MaaS(Malware-as-a-Service)
マルウェアをサービスとして提供するビジネスモデル。犯罪者が開発したマルウェアを他の攻撃者にレンタルまたは販売する仕組みで、技術的知識が乏しい犯罪者でも高度な攻撃を実行可能にする。
オーバーレイ攻撃
正規のアプリケーション画面の上に偽のログイン画面を重ねて表示し、ユーザーの認証情報を盗む攻撃手法。被害者は本物のアプリを操作していると信じ込んでしまう。
オンデバイス仮想化
デバイス内に完全で分離された仮想環境を作成し、正規アプリのコピーを仮想空間で実行させる技術。GodFatherマルウェアが採用した新たな攻撃手法。
アクセシビリティサービス
Androidの障害者支援機能。他のアプリの画面内容を読み取り、操作を代行できるため、マルウェアに悪用されやすい。Android 13以降で制限が強化された。
NFC(Near Field Communication)
近距離無線通信技術。スマートフォンと決済端末間で非接触決済を可能にするが、リレー攻撃により悪用される場合がある。
C2サーバー(Command and Control Server)
マルウェアに感染したデバイスを遠隔制御するためのサーバー。攻撃者がボットネットを統括する司令塔の役割を果たす。
SpyLoan
正規の金融サービスを装い、低金利ローンを餌にユーザーを騙して個人情報を窃取し、恐喝や脅迫を行うマルウェアの一種。
EMVチップ
クレジットカードやデビットカードに搭載されたセキュリティチップ。SuperCard Xマルウェアはこのチップにコマンドを送信してカードデータを読み取る。
セッションベースインストール
Androidアプリストアがアプリインストールを処理する方法。テキストアプリ、メールクライアント、ブラウザも使用し、Android 13のセキュリティ保護を回避可能。
WebView
アプリ内でWebコンテンツを表示するためのコンポーネント。AntiDotやRapiPlataがフィッシングページの表示に悪用している。
【参考リンク】
PRODAFT(外部)
AntiDotマルウェアの詳細分析を発表したサイバー脅威インテリジェンス企業
Zimperium(外部)
GodFatherマルウェアの仮想化技術研究を発表したモバイルセキュリティ企業
F6(外部)
SuperCard Xマルウェアのロシア展開を初報告したサイバーセキュリティ企業
Check Point(外部)
RapiPlataアプリの分析とSpyLoan脅威の警告を発表したセキュリティ企業
Promon(外部)
FjordPhantomマルウェアの仮想化技術を初文書化したモバイルセキュリティ企業
【参考記事】
AppLite: A New AntiDot Variant Targeting Mobile Employee Devices
ZimperiumによるAntiDotの新亜種AppLite Bankerの詳細分析。求人オファーを装ったフィッシング攻撃の手法と企業デバイスへの脅威について報告している11。
Your Mobile App, Their Playground: The Dark side of the Virtualization
GodFatherマルウェアの仮想化技術に関するZimperiumの詳細研究。オンデバイス仮想化による新たな攻撃手法と、トルコの金融機関への標的型攻撃について分析している12。
SuperCard X Malware Threatens Financial Security with NFC Attacks
SuperCard XマルウェアのNFCリレー攻撃について詳細解説。イタリアでの初期攻撃事例と、中国語圏の犯罪グループによる運営実態を報告している4。
【編集部後記】
今回のAndroidマルウェアの進化を見て、皆さんはどのように感じられたでしょうか。特に仮想化技術の悪用は、従来のセキュリティ対策の前提を覆すものです。
私たちも日常的にスマートフォンで決済や銀行取引を行っていますが、正規アプリと見分けがつかない攻撃手法の登場は、技術の進歩と脅威の表裏一体性を改めて実感させます。皆さんの職場や個人利用において、モバイルセキュリティ対策はどのような状況でしょうか。また、これらの新しい脅威に対して、どのような対策が効果的だと思われますか。ぜひ皆さんの視点や経験をお聞かせください。
