Google Playに“文書リーダー”を装う不正アプリ 1,900万件規模で流通-マルウェアがダウンロードされフィッシングページへ誘導

セキュリティニュース

投稿日時: 更新日時:

Google Playに“文書リーダー”を装う不正アプリ 1,900万件規模で流通-マルウェアがダウンロードされフィッシングページへ誘導

2025年、8月ZscalerのThreatLabzが、Android向けバンキング型マルウェア「Anatsa(別名:TeaBot)」の最新動向と、Google Play上で見つかった悪性アプリの大規模流通を報告しました。今回の調査では、Anatsaの標的が世界831の金融・暗号資産アプリに拡大。

さらに、同社がGoogleに報告した77本の悪性アプリが合計1,900万回以上インストールされていたことが判明し、その後Googleは当該アプリを削除しました。

なお、すでに端末に残存している場合はユーザー側でセキュリティスキャンとアプリ削除の対応が必要です。

悪性アプリの概要

Android向けバンキング型マルウェア「Anatsa(別名:TeaBot)」は少なくとも2020年から活動するAndroid向けの銀行詐欺マルウェアで、資格情報の窃取、キーロギング、不正送金の補助などを行います。

直近のキャンペーンでは、Google Playに「Document Reader – File Manager」など文書閲覧アプリを装う“ドロッパー”を公開しています。

Document Reader – File Managerを装う悪性アプリ

画像:ThreatLabz

インストール後に“更新”を名目に本体ペイロードを落とし込む手口で審査をすり抜け、端末上で権限を奪取してフィッシング画面(オーバーレイ)やキーロガーを稼働させます。

Google Playで1900万超インストール

ThreatLabzはAnatsaの追跡と並行し、77本の悪性アプリ(合計1,900万インストール超)をGoogleに報告。

多くはツール/パーソナライズ系を装い、カテゴリ別では“ツール・パーソナライズ・エンタメ・写真・デザイン”の順にリスクが高い傾向でした。

内訳は以下が目立ちます。

Google Playでアドウェアやドップラーが1900万超インストール

画像:ThreatLabz

  • アドウェア:全体の約3分の2

  • Joker約4分の1で確認(SMS読取・通話・連絡先窃取・有料課金登録など)

  • Harly:正規機能の裏に隠したペイロードで審査回避

  • Maskware(擬装型):表向きは機能するが裏で情報窃取・追加マルウェア投下

報告後、当該アプリはPlayストアから削除されましたが、すでに端末に残存している場合はユーザー側の対応が必要です。

参照

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa