新Androidマルウェア「BingoMod」、口座から金銭窃取しデバイスをワイプ
(情報源:Cleafy、BleepingComputer)
今年5月末に発見された新しいAndroid向けRAT「BingoMod」について、Cleafyの研究者が報告。このマルウェアは、感染したデバイスで偽の送金プロセスを開始して被害者の金を盗み取り、その後デバイスをワイプして自らの痕跡を消す性能を持つという。
スミッシングにより感染
BingoModの初期感染経路はスミッシング(SMSフィッシング)。SMSを介して一見モバイルセキュリティツールに思えるアプリをユーザーがAndroid端末上でインストールすると、BingoModはまず「アクセシビリティサービス」を有効化するようユーザーにリクエストする。ユーザーがこれを許可すると悪意あるペイロードの実行が始まり、デバイス情報が収集されてC2との通信チャネルがセットアップされるという。
2種の通信チャネルでオンデバイス詐欺(ODF)を実行
BingoModのメインの目的は、感染した端末上から偽の送金を行う「オンデバイス詐欺(ODF)」によって金銭を奪うこと。これを実現するために、同マルウェアはコマンド受信のためのソケットベースの通信チャネルと、VNC風の機能を実現するためのHTTPベースの通信チャネルを確立するという。HTTPチャネルは、AndroidのAPI(Media Projection API)を悪用して一定間隔で取得されるデバイスのスクリーンショットをC2へと送る。これにより攻撃者は、実際に目の前にデバイスがあるかのようにほぼリアルタイムでスクリーンを確認できるようになるという。ODFが成功した場合、攻撃者は1回の送金につき最大15,000ユーロを盗み取ることができるとされる。
なおODFは、被害者自身の端末から送金を開始することによって、銀行が導入している詐欺対策システム(身元検証や認証に頼った標準的なもの)をやり過ごし、金銭を騙し取るというもの。
条件次第でデバイスのワイプも
BingoModは、感染したデバイスからセキュリティソリューションを排除する、攻撃者の指定した特定のアプリの活動を阻害する、といった検出回避を備えるほか、コード平坦化・文字列難読化レイヤも追加されている。また、マルウェアが「デバイス管理アプリ」として登録されている場合、攻撃者はシステムをワイプするリモートコマンドを送信可能。ただしこの機能は外部ストレージにのみ有効であるため、完全なワイプを実現するためには、攻撃者が自らリモートアクセス機能を使ってシステム設定から全データの消去とデバイスのリセットを行う必要があるとされる。
未だ開発段階か
Cleafyの研究者らによれば、BingoModの現行バージョンは1.5.1だが、未だ初期の開発段階にあるものとみられるという。同マルウェアの開発者は現在、検出率を下げるため、コード難読化およびさまざまな検出回避メカニズムの追加に力を注いでいる模様。研究者らはまた、コードに含まれるコメントから開発者がルーマニア語話者である可能性が示されている、とも述べている。