マルウェア概説:Androidが標的に — FvncBot、SeedSnatcher、ClayRat
2025年12月9日、Tony Burgess
新たなAndroidマルウェア:戦術、ターゲット、防御戦略
主なポイント:
- Androidマルウェアの脅威が急速に進化しており、世界中の個人と組織の両方が標的となっています。
- FvncBotは、VNCベースのリモートアクセスを使って認証情報を窃取し、リアルタイムでデバイスを制御します。
- SeedSnatcherは、Androidユーザーから暗号資産ウォレットのシードフレーズと秘密鍵の窃取に特化しています。
- ClayRatは、監視、データ窃取、持続的なデバイス侵害に使用されるモジュール型スパイウェアツールです。
- 攻撃者は、ソーシャルエンジニアリング、フィッシング用オーバーレイ、悪意あるアプリの配布を悪用して、Androidデバイスに感染させます。
- 防御のために、信頼できるソースからのみアプリをインストールし、デバイスを常に最新状態に保ち、二要素認証を有効にします。
長年のAndroidユーザーである私は、iPhone愛好家の友人からの軽蔑や嘲笑を受け流すことには慣れています。Androidは、(個人的見解では)多くの利点がありますが、iOS/iPhoneよりもマルウェア攻撃を受けやすいのも事実です。(ただし、Googleが最近発表したレポートでは、その逆の状況が示唆されています。)
Androidは、世界中で数十億人が使用する人気の高いデバイスであり、バンキングや決済、個人の通信、ビジネス業務まで、あらゆる用途に活用されています。このように広く普及していることから、サイバー犯罪者や高度な攻撃主体にとって格好の標的となっています。
この数か月で、ソーシャルエンジニアリングやAndroidのアクセシビリティ機能、サードパーティ製アプリの配布チャネルを悪用した巧妙なマルウェアキャンペーンが急増しています。これらの攻撃は、技術的に複雑化しているだけでなく、検知を回避し、金融情報や暗号資産ウォレットを含む価値の高いデータを狙う能力も高めています。
ここでは、現在実環境で活動が確認されているAndroidマルウェアのうち、最も懸念すべき3つのファミリーとして、FvncBot、SeedSnatcher、ClayRatを取り上げます。それぞれが特徴的な機能と攻撃ベクトルを備えており、より高い警戒と強固なモバイルセキュリティ対策の必要性を浮き彫りにしています。
FvncBot:VNCによるリモート操作を特徴とするAndroid RAT
種類:リモートアクセス型トロイの木馬(RAT)
機能:VNCベースの画面共有、認証情報の窃取、デバイスの制御
脅威アクター(攻撃者):複数(金銭目的のグループを含む)
FvncBotは、新たに開発されたAndroid向けバンキング型トロイの木馬で、仮想ネットワークコンピューティング(VNC)を利用してリアルタイムのデバイス制御と監視を可能にするという特徴を持ちます。正規のセキュリティアプリ(特にポーランドのmBank向け)を装い、Androidのアクセシビリティサービスを悪用してキー入力を記録し、Webインジェクト攻撃を実行し、デバイスの画面をストリーミングし、認証情報窃取のための隠しオーバーレイを展開します。
このマルウェアは、ユーザーに偽のGoogle Playコンポーネントをインストールするよう促すドロッパーアプリを介して配布され、新しいAndroidバージョンのセキュリティ制限を回避します。当初はポーランドのユーザーを主な標的としていましたが、その手口は他の地域や組織にも容易に適用可能であると研究者は警告しています。
SeedSnatcher:暗号資産に特化した認証情報窃取マルウェア
種類:インフォスティーラー
機能:クリップボードの監視、シードフレーズの窃取、フィッシング用オーバーレイ、SMSの傍受
脅威アクター(攻撃者):金銭目的とみられ、中国を拠点とする、または中国語話者の可能性
SeedSnatcherは、暗号資産ユーザーを標的にした巧妙なインフォスティーラーです。Telegramなどのソーシャルチャネルを通じて「Coin」という名前で配布され、人気のある暗号資産アプリを模倣した説得力のあるフィッシング用オーバーレイにより、ウォレットのシードフレーズや秘密鍵を収集することに特化しています。
さらに、SMSメッセージを傍受して、二要素認証コードの窃取、デバイスのデータの持ち出し、連絡先/通話ログ/ファイルにアクセスするための権限昇格も実行します。
SeedSnatcherの運用者は、動的クラスローディングやステルス性の高いWebViewインジェクションなど、高度な回避手法を使用しているため、検知や削除が困難です。
ClayRat:モジュール型ペイロードを備えたスパイツール
種類: モジュラー型RAT/スパイウェア
機能: キー入力の窃取、音声/動画の記録、ファイルの持ち出し、オーバーレイ攻撃、デバイス制御
脅威アクター(攻撃者): APTグループの疑い(国家関与の可能性を含む)
ClayRatは、幅広い監視機能とデバイス制御機能を含むように急速に進化してきた高度なAndroidスパイウェアファミリーです。最新バージョンでは、SMSとアクセシビリティの両方の権限を悪用して、キー入力の取得や画面の録画、通知の収集を行います。また、システム更新やブラックスクリーンを装ったオーバーレイを表示することで、不正活動を隠蔽します。
ClayRatはフィッシングドメインやTelegramチャネルを通じて配布され、しばしばYouTubeや地域のタクシーサービスのような人気アプリを装います。永続化メカニズムとデバイスのロック解除を自動化する機能により、特にBYOD(個人所有デバイスの業務利用)環境では深刻な脅威になります。
Androidデバイスの保護
Androidデバイスを狙うマルウェアは急速に進化しており、攻撃者はアクセシビリティ機能、フィッシング用オーバーレイ、ソーシャルエンジニアリングを利用して、デバイスを侵害し、機密データを窃取しています。FvncBot、SeedSnatcher、ClayRatのような脅威から防御する最善策は、他のデバイスやエンドポイントをマルウェアから保護する場合と同じ基本原則に従うことです。
- アプリをインストールするには、信頼できる配布元(Google Play、ベンダーの公式サイト)のみを利用する
- デバイス、アプリ、モバイルセキュリティを常に最新の状態に保つ
- 一意の強力なパスワードを使用し、二要素認証を有効にする
- 不審なリンク、ダウンロード、権限要求に注意し、フィッシングを見破る方法を理解する
BarracudaONEプラットフォーム
BarracudaONE AI搭載サイバーセキュリティプラットフォームで保護とサイバーレジリエンスを最大化。メール・データ・アプリケーション・ネットワークを保護し、24時間365日運用されるマネージドXDRサービスで強化。セキュリティ防御を統合し、深層的でインテリジェントな脅威検知・対応を実現。高度な保護機能、リアルタイム分析、先制対応能力を活用し、組織のセキュリティ態勢を確信を持って管理できます。堅牢なレポートツールは明確で実用的なインサイトを提供し、リスク監視、ROI測定、運用効果の証明を支援します。
その他のバラクーダソリューションについても、当社ウェブサイトのお問い合わせフォームよりお気軽に当社へお問い合わせください。
