AndroidマルウェアはMicrosoft関連のセキュリティの盲点を悪用して検出を回避

今週、新たなサイバーセキュリティの騒動の中で、Microsoftの.NET MAUIを悪用した新たなAndroidマルウェアが、レーダーをすり抜けて活動していることが明らかになりました。このマルウェアは、インドと中国語圏のユーザーを標的とし、銀行やソーシャルメディアアプリといった実際のサービスを装い、機密情報へのアクセスを目的としています。

マカフィーのモバイル研究チームのサイバーセキュリティ専門家は、この脅威は現在中国とインドを狙っているが、他のサイバー犯罪者グループも容易に同じ手法を採用して、より広範囲のユーザーをターゲットにする可能性があると述べている。

.NET MAUIの隠れた危険：セキュリティの回避

マイクロソフトは2022年に.NET MAUIをリリースしました。これは、開発者がC#を使用してデスクトップとスマートフォンの両方向けのアプリを開発できるフレームワークであり、現在は廃止されているXamarinツールに代わるものです。.NET MAUIの目的は、異なるプラットフォームで動作するアプリをより簡単に作成できるようにすることでした。

通常、AndroidアプリはJavaまたはKotlinで構築され、コードはDEX（Dalvik Executable）と呼ばれる形式で保存されます。Androidのセキュリティシステムは、これらのDEXファイルをスキャンして不審なファイルを検出するように設計されています。しかし、.NET MAUIを使用すると、開発者はC#でAndroidアプリを構築でき、この場合、アプリのコードはバイナリの「blob」ファイルに保存されます。

マルウェアの進化する戦術：ブロブの優位性

これらのバイナリラージオブジェクト（BLOB）ファイルは、本質的に生のデータの塊であり、必ずしも標準的なファイル構造に従っていません。ここで問題となるのは、DEXファイルの解析用に構築された多くのAndroidセキュリティツールが、これらのBLOBファイルの内部コンテンツを検査していないことです。これにより、マルウェアがこれらのBLOBファイルにひそかに埋め込まれる可能性があり、重大なセキュリティ上の盲点が生じます。

サイバー犯罪者にとって、悪意のあるコードを最初から埋め込むことは、アップデートを通して展開されるのを待つよりもはるかに効果的です。「BLOB」形式は、このようなステルス性の高い即時攻撃を可能にします。

「これらの回避技術により、脅威は長期間潜伏したままになる可能性があり、分析と検知が著しく困難になります」と、マカフィーはこの件に関するブログ記事で警告しています。「さらに、同じコア技術を用いた複数の亜種が発見されていることは、この種のマルウェアがますます蔓延していることを示唆しています。」

参照：詐欺警告：FBI、ドキュメントコンバータで配布されるマルウェアを「増加中」

デバイスを保護する：セキュリティ研究者のアドバイス

アプリの入手先には常に注意が必要です。特に公式アプリストアを利用していない場合はなおさらです。マカフィーの研究者は、「…これらのプラットフォームは、攻撃者によってマルウェア拡散に悪用されることが多い。これは特に中国のような国では懸念される。公式アプリストアへのアクセスが制限されているため、ユーザーはこうした脅威に対してより脆弱になっている」と指摘しています。

サイバー犯罪者がいかに急速に新たな手口を編み出すかに対応するため、マカフィーはユーザーに「デバイスにセキュリティソフトウェアをインストールし、常に最新の状態に保つ」ことを強く推奨しています。つまり、常に警戒を怠らず、適切なセキュリティ対策を講じることが、新たな脅威から身を守るための基本的な対策なのです。

こちらもご覧ください

• Windows向けVMware Toolsを今すぐアップデートしてください：深刻な脆弱性によりハッカーが認証を回避できる
• 2025年のサイバーセキュリティの5大トレンド
• サイバーセキュリティに関する必読書10冊
• サイバーセキュリティ：さらに読むべき記事