一見すると安全に見える正規アプリの中に、巧妙に仕込まれたマルウェアが潜んでいる――そんな新たな脅威が明らかになりました。セキュリティ企業のiVerifyは、Android向けの新型リモートアクセス型トロイの木馬「Cellik」の存在を報告しています。
正規アプリを装う新手口のマルウェア
Cellikの最大の特徴は、Google Playストアに存在する正規アプリを土台にして、そこへ不正なコードを組み込める点にあります。悪意のある第三者は、人気アプリを取得したうえでCellikを組み込み、見た目は本物と変わらない不正アプリを作成できます。
これにより、ユーザーは「いつも使っているアプリ」だと信じてインストールしてしまい、知らないうちに端末を乗っ取られる危険性があります。
端末を完全に支配する危険な機能
Cellikは、いわゆるRATと呼ばれるマルウェアで、感染すると攻撃者に端末のほぼ完全な操作権限を与えてしまいます。画面のリアルタイム共有や遠隔操作に加え、キーロガー機能も備えており、入力内容や通知、ワンタイムパスコードまで盗み見られる可能性があります。
さらに、端末内のファイル操作やクラウドストレージへのアクセス、Webサイトの閲覧やフォーム入力まで、ユーザーに気付かれないまま実行される点も深刻です。
偽ログイン画面を重ねる高度な手法
Cellikは、アプリ上に偽のログイン画面を重ねて表示する「オーバーレイ攻撃」にも対応しています。これにより、正規サービスにログインしているつもりでも、実際には認証情報が攻撃者に送信されてしまう恐れがあります。
また、このマルウェアはアプリごとにカスタマイズ可能で、自動的にAPKファイルを生成する仕組みも確認されています。正規アプリを取得し、不正コードを組み込んだうえで再配布できるため、検知をすり抜けやすい点が問題視されています。
Play Protectをすり抜ける可能性も
Google Play Protectは不正アプリの検出を行っていますが、Cellikのように正規アプリに偽装されたケースでは、検知を回避する可能性があると指摘されています。こうした不正アプリは、主に非公式サイトや第三者ストアなど、いわゆる「サイドロード」を通じて配布される傾向があります。
被害を防ぐために意識すべきポイント
iVerifyは、被害を防ぐための基本対策として、公式アプリストアの利用を徹底することを強く推奨しています。特別な理由がない限り、APKファイルのサイドロードは避けるべきだとしています。
やむを得ずサイドロードを行う場合でも、配布元の信頼性確認やファイルの署名・ハッシュチェックを行うなど、慎重な対応が求められます。また、端末向けのセキュリティ対策アプリを導入することも、リスク低減につながります。
利便性と引き換えに問われる「警戒心」
今回のCellikは、システムの脆弱性ではなく、人の「信頼」を突く手口が中心です。無料配布をうたう有料アプリや、不自然に魅力的な配布ページなど、少しでも違和感があれば手を出さない判断が重要になります。
Androidの自由度は大きな魅力ですが、その分、利用者側の意識も問われる時代になっています。日常的に使うスマートフォンだからこそ、アプリの入手経路にはこれまで以上の注意が必要と言えそうです。
