偽メッセンジャーアプリが危険な理由

新たに確認されたWhatsAppの改造版アプリが、悪意のあるものであることが判明しました。

ユーザー数20億人を超えるWhatsAppは、世界で最も人気のあるメッセンジャーアプリの一つです。そんな超人気アプリの改造版YoWhatsAppに、マルウェアの脅威が含まれていることが明らかになりました。この偽アプリは、Triadaと呼ばれるトロイの木馬がダウンロードされるようになっており、悪意ある広告を表示したり、ユーザーに気づかれないうちに有料コンテンツの定期購読サービスを申し込んだり、本物のWhatsAppアカウント情報を盗みだしたりします。これはどのようにして起きたのでしょうか?また被害にあわないためにはどうすればよいのでしょうか?

当たらぬ蜂には刺されぬ サイバーセキュリティ基本対策

情報セキュリティにおける最も重要なルールは、リスクをとらないことといえるでしょう。そのためには以下の指示に従ってください。

  • 怪しいサイトにはアクセスしないでください。それらのサイトは悪意のある広告が表示されていたり、フィッシングサイトなどが表示されることがあります。
  • トレントから、ハッキングされているプログラムをダウンロードしないでください。クラック (英語ページ)に パスワード窃盗型トロイの木馬 (英語ページ)が含まれてるなどの可能性があります。
  • 差出人不明のメールにあるリンクをクリックしたり、添付ファイルを開いたりしないでください。そこにあらゆる種類のマルウェアが潜んでいる可能性があります。

つまり、用心を怠らないことが、サイバー脅威から身を守るために非常に効果的です。

また、万が一に備えて、お使いのウイルス対策を有効化して、更新しておくことも重要です。少しでも機転を利かせてリスクある行動は控えて、詐欺師の手口に騙されないようにしましょう。

さらに、非正規のモバイルアプリをダウンロードしないことは極めて重要です。GoogleやAppleはアプリストアに新しいアプリが追加されるとき常にチェックを行っています。そのため、それらのストアでマルウェアに出くわす可能性は低いですが(特に Google Playの場合 )ゼロではありません。HuaweiもHuawei AppGalleryストアで同様のことを行っていますが、そこでもマルウェアは見つかっています。しかし、マルウェアは、 APKファイル をダウンロードさせるオープンプラットフォームで多く確認されており最もリスクが高いといわれています。

セキュリティに関する重要なルールは他にもあります。それは、非正規のメッセンジャーアプリを使用しないということです。なぜこのルールが大切なのか、メッセンジャーアプリの仕組みを考えてみましょう。

そういったアプリの多くは、 クライアントサーバー モデルに従って機能しています。このモデルでユーザーは、クライアントアプリと直接通信します。クライアントとサーバーの間のデータは特別な プロトコル を介して交換されています。多くのメッセンジャーアプリの場合、このプロコトルは開かれたものです。そのため、他のユーザーが削除したメッセージの閲覧、大量に一斉送信するメッセージの作成、インターフェースのカスタマイズなどの機能を加えた非公式の改造版クラインアントを作成することが可能となっています。

さて、なぜこの仕組みの危険があるというのでしょうか?正規のクライアントにおいて、利用者は、メッセンジャーアプリの作成者を信用してすべての通信を委ねています。一方、非公式のクラインアントを使用する場合、システムのデベロッパーだけではなく、非公式のクライアントアプリの開発者にも通信を委ねることになります。それに加え、改造版クライアントは、非正規のところでしか手に入れられません。いうまでもなく、これは信頼できるものではなく、悪意のある脅威が含まれている可能性があります。

トロイの木馬Triadaの再来

2021年、とある攻撃者が、多機能的なトロイの木馬( Triada )をユーザーのデバイスにダウンロードする ドロッパー (英語ページ)を用いて、改造版WhatsAppである FMWhatsappというアプリを感染させていました。 このモジュラー型トロイの木馬は、主に広告を表示し、有料コンテンツを強制的に購入させるものでした。

実質的に同じことが、現在非公式クライアントが異なる同一のメッセンジャーアプリで起きています。今回、YoWhatsAppという改造版(別名YoWa)が、 感染しました。 (英語記事)なぜ多くの人がダウンロードしてしまうのかというと、この改造版は、より幅広いプライバシーオプションや、最大700MBまでファイルを転送できる機能、速度の向上などを提供しているためです。

ユーザー数が多いため、マルウェア配信者はYoWhatsAppを悪用しようと目を付けました。さらにこのアプリは、GooglePlayストアにはなかったため、ユーザーは、信用性に欠ける様々なルートでYoWhatsAppをダウンロードしました。感染した改造版の主な配信チャネルの1つは SnapTube (英語ページ)という動画や音声をダウンロードするアプリ内の広告です。SnapTubeの所有者自身は、おそらく広告キャンペーンの内一つが、マルウェアを拡散していたことさえ気づいていなかったことでしょう。

感染したYoWhatsAppに加え、ユーザーの端末には、トロイの木馬Triadaを拡散するドロッパーが入り込みました。2021年の時とは異なり、今回は、ドロッパーだけがトロイの木馬に付随したのではなく、YoWhatsAppには侵入者がWhatsAppの操作に必要なキーを盗むことができる機能が追加されていました。これらのキーがあれば、アカウントの乗っ取りが可能になり、それを使ってマルウェアを配信したり、被害者の連絡先から金銭を搾取したりすることができます。

その結果、被害は金銭的な損失(Triadaはユーザーを有料のサブスクリプションに登録させるものであるため)だけではなく、個人情報も盗み出しました。犯罪者がユーザーの名前を騙って、連絡先に載っている友人、知人にもメールを送るため、ユーザーと接点のある人々にも被害が及びました。

Androidのマルウェアから身を守るために

マルウェアに対抗するための最善策は、そもそも自身の元にマルウェアが届く可能性を除去することです。自らを守るために従うべき簡単なルールは3つあります。

  • 不明なソースからアプリをダウンロードしないでください。むしろ、AndroidスマートフォンでGoogle Play以外の場所からアプリをインストールする機能をブロック するのがよいでしょう。
  • メッセンジャーアプリの代替クライアントをインストールしないでください。公式アプリが常に理想的なものではないとしても、公式アプリのほうが格段に信頼でき安全なものです。
  • 優れた保護製品を使い、常にそれを有効化しておいてください。カスペルスキーインターネットセキュリティ は様々な種類のトロイの木馬、Triadaの変異種やその他のAndroidのマルウェアを検知し、それらが問題を起こす前にブロックします。当社の無料版のモバイル保護製品を新しくダウンロードまたはインストールするときには、毎回手動でスキャンを実行必要があります。完全版では、すべての新しいアプリを自動スキャンします。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?