Danny Weber
17:23 10-12-2025
© A. Krivonosov
Zimperiumが発見したAndroidマルウェア「ClayRat」の最新亜種を詳解。アクセシビリティ悪用でPINやパスワード取得、画面録画、通知改ざん、アンインストール妨害など多機能化の脅威と対策を解説。偽アプリ配布やDropbox経由の拡散手口、被害を避ける注意点も紹介。一般ユーザーが取るべき対策も平易に解説。
モバイルセキュリティ企業Zimperiumの研究者が、Android向けマルウェア「ClayRat」の新たでより巧妙な亜種を報告した。かつてはSMSや通話履歴を抜き取るだけの素朴なインフォスティーラーだったが、いまやシステム深部に踏み込み、削除を退ける仕掛けまで備えた多目的の監視ツールへと変貌している。脅威が一段と先鋭化し、一般のユーザーにとってハードルが上がった印象は拭えない。
2024年秋に確認された初期系統は機能が限られていた。ところが現在のClayRatはAndroidのユーザー補助(アクセシビリティ)サービスを悪用し、端末の操作画面をほぼ制約なく操れる。ツールキットには、キーストロークの記録、PINの取得、パスワードの読み取り、さらには自動で画面ロックを解除する機能まで加わった。
専門家は、削除妨害のための新しい防御も指摘する。ClayRatはタップ入力を横取りし、ユーザーの指示を遮って動作をすり替えることで、電源オフやアンインストールを阻む。画面上には本当の処理を隠すオーバーレイ—たとえば「システムアップデート」のウィンドウ—が重なることもある。この手の目くらましは、目の前の表示を疑いたくなるほど紛らわしい。
拡散の局面では、トロイの木馬が人気アプリに成り済ます。動画サービスのクライアントやメッセンジャー、地域のタクシー・駐車アプリなどだ。Zimperiumは、YouTube ProやCar Scanner ELMの偽版を含む25以上の誘導用ドメインを特定した。攻撃者はAPKファイルをDropboxに置き、セキュリティフィルターの網をくぐる。身近なブランドと正規のクラウドストレージに寄りかかる分、だまし絵は一段と本物らしく見えてしまう。
いったん侵入すると、ClayRatは端末をほぼ掌握する。MediaProjection API経由で画面を録画し、通知を傍受して応答を書き換え、ワンタイムコードを奪ったり会話に干渉したりもできる。その足場を許した途端、日常の操作でさえ、思った通りに動かなくなるおそれがある。