巧妙化するモバイルバンキングマルウェア:最近のキャンペーン6つのまとめ | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 巧妙化するモバイルバンキングマルウェア:最近のキャンペーン6つのまとめ

Threat Report

Android

Androidマルウェア

BingoMod RAT

巧妙化するモバイルバンキングマルウェア:最近のキャンペーン6つのまとめ

Yoshida

Yoshida

2024.10.03

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2024年9月20日付)を翻訳したものです。

 

モバイルバンキングが利便性に優れ、時間を節約できる性質を備えていることから、モバイル端末はサイバー犯罪者にとって魅力的なターゲットであり続けています。個人の金銭管理のためにモバイルバンキングを利用するユーザーが増える中、各銀行も予算管理ツールやAIによる支出分析、ローンの即時承認などの機能を導入してユーザーエクスペリエンスを強化しています。(出典) こういったアプリがユーザーの日常生活に浸透するにつれ、モバイルバンキングユーザーを標的としたキャンペーンは継続的に実施され、ますます巧妙になっていくことが予想されます。

本ブログ記事では、主にAndroid端末を狙ったバンキングマルウェアに焦点を当てていきます。複数の情報源を調査したところによると、Android端末は世界のモバイル市場シェアの70%を占めているようです。脅威アクターがこれらの端末を狙って手の込んだキャンペーンを作り、アプリを正規のものに見せかけてユーザーを騙した上で、さらなるパーミッションを取得したり、機微データを窃取したりするのも当然でしょう。(出典)本稿では具体的に6つの最近のキャンペーンについてまとめているほか、各キャンペーンの項目でこの脅威の進化について触れています。例えば、NGateマルウェアキャンペーンでは近距離無線通信(NFC)データを傍受するためにNFCトラフィック分析ツールが使われ、BingoMod RATキャンペーンでは攻撃後にデバイスのワイピングが行われています。また、BlankBotのキャンペーンではカスタムの仮想キーボード、ChameleonのキャンペーンではAndroid 13以上の制限をバイパスする手法がそれぞれ使われ、SpyAgentのキャンペーンでは暗号資産のニーモニックフレーズが標的になっているほか、最近のGigabudキャンペーンでは組織化された巧妙な攻撃が実施されています。

NGate

2023年11月~2024年3月にかけて、「NGate」と名付けられた有害なキャンペーンが実施されました。このキャンペーンはチェコの大手銀行3行の顧客を狙い、NFC技術を悪用してペイメントカードの機微なデータを盗むものでした。攻撃は嘘のSMSメッセージや自動通話を使い、標的の口座がセキュリティインシデントに見舞われたことをほのめかすフィッシングキャンペーンから始まりました。被害者は既存のペイメントカードデータとPINコードを検証するために、正規のバンキングアプリに偽装されたモバイルアプリをダウンロードするよう指示されます。このアプリがインストールされるとオープンソースツール「NFCGate」がダウンロードされ、これを介してNFCデータが被害者のAndroid端末から攻撃者の端末に送られる仕組みです。盗難データが架空のカードとして保存されることで、攻撃者は盗まれたカードを複製し、NFCを使った不正取引でATMから現金を引き出すことに成功しました。このキャンペーンを最初に発見したESETの研究者によると、NGateはroot化された端末を必要としないため、より広く利用されやすい危険なものになっているとのことです。

銀行の顧客を狙ったさまざまなNGateアプリが6個発見された後、2024年3月に首謀者が逮捕され、同キャンペーンは停止しました。このキャンペーンの影響を受けた個人の人数はいまだにわかっていません。研究者によると、NFCトラフィックを中継するためにNFCNGateを利用する手法はこれまでになかったもので、過去に確認されたAndroidマルウェアでも見られていないとのことです。(出典

BingoMod RAT

Cleafyの研究者は2024年5月、スミッシングキャンペーンを介して英語、イタリア語、ルーマニア語を話すユーザーを狙う新たなAndroid向けリモートアクセス型トロイの木馬(RAT)を発見しました。このRATはAVG AntiVirusやWebSecurityなどの正規ツールに偽装されており、インストールされるとアクセシビリティサービスへのアクセスを要求し、標的のデバイスを幅広く制御できるようにします。またキーロギングやSMSの傍受を行うことができるほか、侵害されたデバイスから直接不正送金を行い、身分情報の検証や認証を行う不正検知システムをバイパスします。このRATはAndroidのMedia Projection APIを使ってリアルタイムでスクリーンに映った内容をキャプチャするため、コマンド&コントロールインフラを介して遠隔で標的システムを制御できるほか、遠隔操作用の機能を約40備えていることが確認されています。また、偽の通知を介して手動でオーバーレイ攻撃を行う機能もあり、さらに認証情報が盗まれる、あるいは取引を成立させられる危険性があります。中には1回の送金で1万5,000ユーロが盗まれる事例もありました。このマルウェアは不正行為を行った後、デバイスをワイプしてフォレンジック分析を回避します。研究者によると、この技法はAndroid端末を狙ったキャンペーンで見られる手法の中でも珍しいとのことです。

このRATはリアルタイムでオペレーターを必要とするため、攻撃の規模を拡大するには限界がありますが、まだ開発の初期段階にあることから、今後さらなる進化を遂げる可能性があります。(出典

BlankBot

Intel471の研究者が2024年7月、 「BlankBot」と呼ばれる新たなAndroid向けバンキング型トロイの木馬を発見しました。主にトルコのユーザーを標的にしているBlankBotは、アクセシビリティサービスを悪用して感染したデバイスを完全に乗っ取るもので、ユーティリティアプリに偽装され、SMSのテキストや機微な情報などすべてのアクティビティを記録します。

そのほかにもバンキングデータを盗むためのカスタムインジェクションやキーロギングといった機能に加え、AndroidのMediaProjection APIやMediaRecorder APIを使ってスクリーンを録画する性能を有しています。

「InputMethodService」クラスを使って実装されたカスタム仮想キーボードを使い、キー入力を傍受することがBlankBotのユニークな特徴です。このトロイの木馬は正規のデバイスにインストールされたことを確認すると、WebSocketを使ってコントロールサーバーと通信し、設定やアンチウイルスアプリへのアクセスをブロックします。BlankBotは現在も開発段階で、最近のサンプルにはコードの難読化やジャンクコードの追加が観測されていますが、これはおそらくリバースエンジニアリングの取り組みを妨害するためだと思われます。(出典

Chameleon

ThreatFabricの研究者は2024年7月、Android向けバンキング型トロイの木馬「Chameleon」に関連する新たなキャンペーンを複数確認しました。このマルウェアは2022年12月に発見されたもので、これらのキャンペーンでは偽のCRMアプリが使用され、カナダの接客業(特に国際的な大手レストランチェーンの従業員)やヨーロッパの複数地域が標的にされています。分析されたサンプルはいずれも多段階アプローチで配布され、Android 13以上の動作制限を回避するドロッパーが含まれていました。このドロッパーはインストールされると偽のCRMログインページを表示し、従業員の認証情報の入力に加え、アプリの再インストールを求めます。この要求に従うとChameleonのペイロードがインストールされ、アクセシビリティサービスを悪用してバックグラウンドで機微なデータが収集される仕組みです。研究者によると、Android 13以上のアクセシビリティサービスの制限を回避する能力は、最新のバンキング型トロイの木馬に欠かせない機能となっています。(出典

SpyAgent

McAfeeの研究者は9月上旬、新種のAndroidモバイルマルウェア「SpyAgent」を配布するキャンペーンについて報告しました。このマルウェアが初めて攻撃に使われた事例は、2024年1月に確認されています。攻撃はテキストメッセージやソーシャルメディア上のダイレクトメッセージによるフィッシングキャンペーンから始まり、ユーザーを不正サイトに誘導した上で、正規のものに見せかけたアプリをダウンロードさせます。これらのアプリはバンキング/政府サービス/ユーティリティ/テレビ視聴などの正規アプリを装っており、インストールされるとSMSメッセージや連絡先リスト、ストレージなど機微データへのアクセスを許可するよう被害者に要求します。McAfeeの調査によると、SpyAgentは主に暗号資産ウォレットのニーモニックキーを盗むことに注力しているようで、被害者の暗号資産ウォレットから資金を引き出すことを最終的な目標としていることがうかがえます。このマルウェアはまた、延々と続くローディング画面、予期せぬリダイレクト、空白の画面などを使って被害者の注意をそらし、その間にバックグラウンドでデータを盗みます。韓国では2024年初頭から偽アプリが280件以上検出されており、直近のキャンペーンでは英国のユーザーが標的にされていました。研究者はまた、iOSを対象とする亜種の開発が行われている証拠を見つけています。(出典

Gigabud

Zimperiumの研究者は先日、被害者から機微データを盗むために設計されたAndroid向けトロイの木馬「Gigabud」と「Spynote」に新たな関連性が確認されたと報告しました。これに先立つCybleの研究では、Gigabudの活動増加に加え、GigabudとAndroid向けバンキング型トロイの木馬「Golddigger」の新たな関連性が判明しています。今年2月に発表されたGroup-IBの研究でも、Gigabudと新種の高度なiOS向けバンキング型トロイの木馬「GoldPickaxe」の関連性が認められていました。このSpynote、Golddigger、GoldPickaxeはすべて、中国語を使うサイバー犯罪グループと考えられ、主にアジア太平洋地域で活動する脅威アクター「GoldFactory」との関連が指摘されているマルウェアです。GigabudがAndroidバンキングマルウェアのさまざまな亜種や、iOSを狙ったバンキングマルウェアに類似しているという事実は、GoldFactoryの手口が巧妙かつ高度であることを示すほか、バンキングマルウェアを駆使する脅威アクターたちの潜在的な能力をつぶさに物語っています。これらのマルウェアは航空会社や銀行のアプリ、あるいは税務関連機関を装ったフィッシングキャンペーンを介して配布され、タイ、ベトナム、バングラデシュ、インドネシア、メキシコ、南アフリカ、エチオピアのユーザーが標的にされています。(出典1出典2出典3

結論

これらのキャンペーンは、モバイルバンキング機器を狙った脅威が絶えず進化し、変化していることを示唆しています。技術面の熟練度やリソースの可用性、主なターゲットのレベルは違っても、それぞれのキャンペーンによって銀行組織が直面する脅威ランドスケープは絶えず変化しているのです。NFC技術を悪用するNGateから、さまざまな撹乱手法を使うSpyAgentまで、ユーザーを騙してセキュリティ対策を回避し、機微性の高い金銭関連データを盗むために、脅威アクターは常にその手法を適応させています。こういった脅威が姿を現し、進化を続ける中でオープンソースインテリジェンス(OSINT)を活用することは、新たなマルウェアの傾向を理解するだけでなく、脅威アクターの戦術や能力を特定し、顧客の保護戦略を策定する上で重要な役割を果たします。さらにOSINTは、バンキングマルウェアのトレンドをグローバルに把握するという部分でビジネスを支援することもできます。さまざまな国のユーザーがBingoMod、Chameleon、SpyAgent、Gigabudの標的にされている間、BlankBotやNGateが用いる手法も容易に複製・調整され、これまで以上にターゲットを広げるようになってもおかしくはありません。

 

新たなキャンペーンの監視にSilobreakerがどう役立つのか、詳しくはこちらからお問い合わせください。

ランサムウェアレポート無料配布中!

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

寄稿者

  • Anna Rozehnalová, Director of Customer Success at Silobreaker

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ