Androidにマルウェアがスマホを乗っ取る脆弱性「StrandHogg」が発見される、既に一部銀行口座からは盗難被害も

Androidの脆弱性「StrandHogg」が、セキュリティ研究者らによって発見されました。この脆弱性を悪用されると、悪意のあるアプリが写真の撮影、SMSメッセージの読み取りと送信、電話の録音、銀行の口座情報やログイン資格情報の抜き取りなどが可能になるとのことです。

StrandHogg: Serious Android vulnerability leaves most apps vulnerable to attacks.
https://promon.co/security-news/strandhogg/

Vulnerability in fully patched Android phones under active attack by bank thieves | Ars Technica
https://arstechnica.com/information-technology/2019/12/vulnerability-in-fully-patched-android-phones-under-active-attack-by-bank-thieves/

セキュリティ企業Promonの研究チームによると、問題となった脆弱性は 、Android上でマルチタスクを可能にするための「TaskAffinity」と呼ばれるコントロール設定に存在するとのこと。悪意のあるアプリは、この仕様を不正に利用し、信頼できるサードパーティー製アプリのパッケージ名と一致するように1つまたは複数のアクティビティのTaskAffinityを設定します。

そして、スプーフィングされたアクティビティを別のallowTaskReparentingアクティビティと組み合わせるか、または悪意のあるアクティビティをインテントで起動します。すると、悪意のあるアプリは、対象のタスクの内部および上部に配置されるとのこと。これによって、悪意のあるアプリはユーザーに気づかれることなく、さまざまな情報へのアクセスが可能になるというわけです。

Promonの研究チームによると、Strandhoggの特定ができたのは、「チェコにある複数の銀行で顧客の口座からお金が引き下ろされる事件が起こっている」と東ヨーロッパのセキュリティ会社から報告されたことがきっかけだとのこと。なお、アプリが脆弱性を突いてスマートフォンを乗っ取ってお金を奪ってしまうところから、研究チームはヴァイキングの戦術からStrandHoggと名付けたと述べています。

研究チームは、StrandHoggを悪用するマルウェアの研究を行い、500件以上の人気アプリはすべてリスクにさらされており、Androidの全バージョンが影響を受けると発表しました。また、脆弱性を実際に悪用しているアプリも36個が特定されたとのこと。ただし、見つかったアプリはどれもGoogle Playでは取り扱われていないそうです。

なお、脆弱性をアプリが悪用しようとする兆候として、研究チームは以下を挙げて注意を促しています。

・すでにログインしているアプリやサービスがログインを要求する。
・アプリ名を含まずに何かしらの許可を求めるポップアップが表示される。
・「電卓アプリがGPSの許可を求める」など、本来必要としない許可を求めてくる。
・アプリのユーザーインターフェースに誤字脱字が見られる。
・アプリのユーザーインターフェースのボタンやリンクをタップしても何も起こらない。
・Androidの「戻る」ボタンが思ったように機能しない。