Snaptubeで来るTriada

Snaptubeは知っている人も多いかもしれません。
Snaptubeは動画や音楽を各種サイトからダウンロードできるAndroidの人気アプリです。

このSnaptubeを使って、人気のアプリの改造版が宣伝されています。
こういう感じです。

• 人気のアプリ
  この話でターゲットになっているのはWhatsAppです。
  世界で人気のメッセンジャーアプリです。
• 求められているもの
  WhatsAppは人気で多くの人に使われています。
  そうするとやはり、なかには標準のWhatsAppの機能に満足できていない人が一定数含まれます。
  そこでいろいろな機能拡張の施されたいわゆるMod系アプリが登場します。
• 便利になるMod系アプリ
  Mod系アプリでは標準のアプリにはないちょっと便利な機能が追加で提供されます。
  チャット用のカスタム背景やフォント、一括メッセージ、パスワードで保護された特定の会話へのログインなどの追加機能が提供されたりします。
• 配布方法1
  悪意あるアプリはどうやって届けるのかも重要です。
  配布にはSnaptubeが選択されました。
  宣伝されて配布されるのはYoWhatsAppです。
  便利機能を提供するMod系アプリです。
  Snaptubeで堂々と通常に広告して配布されます。
  怪しさを感じにくい作戦になっています。
• 配布方法2
  別の配布方法として野良のアプリストアが選択されました。
  Vidmateです。
  攻撃者にとって不正アプリの配布を停止させられる危険の少ない野良アプリストアは便利です。
  ここではWhatsapp Plusが配布されていました。
  これも便利機能を提供するMod系アプリです。
• 追加提供されるマルウェア
  悪意のあるMod系アプリが提供するのは便利機能だけではなく、マルウェアも一緒に提供します。
  提供されるマルウェアはTriadaです。
  Triadaはトロイの木馬です。
  Triadaは潜伏力の高いマルウェアで、侵入先の環境の情報を収集し、他のマルウェアをダウンロードします。
• 悪意のあるMod系アプリの利用で失うもの
  Mod系アプリは変更していない元のアプリのサービスを便利にするものになっています。
  Mod系アプリを利用する際には元のアプリで使用しているアカウントで元のアプリのサービスにログインすることになります。
  Mod系アプリはアプリが正しく動作するために権限を要求します。
  そして入手したその権限を使って、入手したアカウント情報で勝手に有料サブスクリプションにサインアップします。
  アカウント情報とお金を失い、マルウェアにまみれます。

Snaptubeは人気が高く非常に多くの人が利用していますが、このアプリ自体もグレーな部分があるのかもしれません。
Snaptubeの公式にはこう書かれています。
「動画ダウンロードツールに関するGoogle Playのポリシー制限により、SnaptubeはまだGoogle Playに掲載されていません。
つまり、SnaptubeのWebサイトからのみSnaptube apkファイルをダウンロードできます。
Google Playで入手できるSnaptubeのバージョンはすべて不正であることにご注意ください。」
考えさせられます。

SnaptubeやVidmateのようなものを利用している人は、ある種のたがが外れているといえるのかもしれません。
そういった場所で海賊版のようなものやグレーなものや今回のようなものが配布されることがあります。
ある種の閾値の低くなった状態において、それらの宣伝されたものは入手されやすいということかもしれません。

マルウェアの中身そのものの洗練化もそうですが、配布方法の洗練化にも注意が必要ですね。

参考記事（外部リンク）：Kaspersky finds new malicious WhatsApp mod advertised in the popular Snaptube app
usa.kaspersky.com/about/press-releases/2022_kaspersky-finds-new-malicious-whatsapp-mod-advertised-in-the-popular-snaptube-app