銀行のログイン情報を盗む画面ライブが可能なAndroid用マルウェアが出現

認証情報を盗むマルウェアからエンドユーザーに迷惑な広告やポップアップを表示する悪意のあるコードまでデジタル関連の脅威は常に進化していますが、中でも最悪な被害が想定されるのは被害者の銀行や金融機関を標的とした脅迫行為を行うサイバー犯罪です、

これまでにも、ログイン情報を盗み出して被害者の銀行口座からお金を引き出すマルウェアなどさまざまな脅威が報告されてきましたが、今回銀行のログイン情報を盗むAndroid用マルウェアが出現したことがわかりました。

この「TeaBot」と呼ばれるマルウェアは、攻撃者が標的となるデバイスの画面をライブストリーミングするなどの動作を行うことが可能であることが分かり、セキュリティ研究者たちは警告を発してします。また、ログイン認証情報やテキストメッセージを乗っ取ることで銀行の不正送金などの行為も可能です。

サイバーセキュリティ企業であるCleafy社のThreat Intelligence and Incident Responseチームの研究者は、1月にTeaBot Androidバンキングトロイの木馬の存在を把握しました。

TeaBot, a new Android malware targeting banks in Europe | Cleafy
TeaBot, a new Android malware targeting European banks, has been discovered in Italy by the threat intelligence team of Cleafy: here's the technical analysis.
www.cleafy.com

この脅威の主な目的は、被害者の認証情報とSMSメッセージを盗み出し、スペイン、ドイツ、イタリア、ベルギー、オランダを含むヨーロッパ地域の銀行に対する詐欺行為をすることだと判明しました。

Geographical distribution of banks currently targeted by TeaBot
Geographical distribution of banks currently targeted by TeaBot

Cleafyチームは技術的な分析の中で、「TeaBotが被害者のデバイスに正常にインストールされると、攻撃者はデバイスの画面のライブストリーミングを行い、デバイスにコマンドを実行させることができます」と説明しています。

TeaBotが取得できる情報の下記5つであることが分かっています。

  • 複数の銀行アプリケーションに対して情報搾取攻撃を行い、ログイン認証情報やクレジットカード情報を盗むことができる
  • SMSメッセージの送信、傍受、隠蔽が可能
  • キーロギング機能
  • Google 認証コードを盗むことが可能
  • アクセシビリティサービスやリアルタイムでの画面共有によりAndroid端末を完全に遠隔操作することが可能

TeaBotが発見された当初、スペインの銀行のみを対象としていることが判明していましたが、Cleafyチームによると3月に入ってからドイツとイタリアの銀行を初めて標的としたTeaBotの新しいサンプルが現れ始めたとのことです。

さらにTeaBotは現在スペイン語、英語、イタリア語、ドイツ語、フランス語、オランダ語など複数の異なる言語がサポートされるようになっています。

サイバーセキュリティ企業Blue Hexagon社のCTOであるSaumitra Das氏は「攻撃者がモバイル機器の価値とエンドユーザーにもたらす脅威を正確に把握していることが改めて物語っています。忘れてはならないのはたとえアプリがGoogle Play上にないとしても、TeaBot/Flubotの背後にいる犯罪組織が使用しているフィッシング/ソーシャルエンジニアリング戦術は、パソコンを攻撃する犯罪組織に劣らない技術力を持っているということです。短期間で巨大な感染ベースを獲得することができるので、この脅威を過小評価してはならない。」と語っています。

Teabotの機能一覧

AndroidManifestファイルからは、以下の指標が抽出されました。

当初、悪意のあるアプリが使用していたアプリ名は「TeaTV」でしたが、アプリ名が「VLC MediaPlayer」、「Mobdro」、「DHL」、「UPS」、「bpost」に変更されています。これは有名なバンキングマルウェア「Flubot/Cabassous」が使用していたおとりと同じです。

TeaTV
TeaTV

TeaBotによって実現された主なパーミッションは以下の通りです。

  • SMSメッセージの送信/傍受
  • 電話帳および電話の状態の読み取り
  • デバイスでサポートされている生体認証モダリティの使用
  • オーディオ設定の変更(デバイスをミュートにするなど
  • 他のすべてのアプリケーションの上にポップアップを表示する(インストール段階で、ユーザーにアクセシビリティサービスの許可を受け入れさせるために使用されます)。
  • インストールしたアプリケーションを削除する
  • Androidアクセシビリティサービスの悪用

以下の表は、テクニカル分析中にTeaBotで見つかったすべてのコマンドのリストをまとめたものです。

  • app_delete : パッケージ名からアプリケーションを削除
  • ask_syspass : バイオメトリック認証のポップアップを表示
  • ask_perms : ask_perms : ユーザーにパーミッションを要求
  • change_pass : パスワード(ロックパターン)の更新を知らせるトーストメッセージ(小さなポップアップ)を表示
  • get_accounts : get_accounts : Androidの設定からアカウントを取得
  • kill_bot : 自分自身を削除
  • mute_phone : 端末をミュート
  • open_activity : パッケージ名からアプリケーションを開く
  • open_inject : オーバーレイ攻撃を行い、インジェクション(htmlペイロード)を開く
  • start_client : start_client : 侵害されたデバイスをスクリーンショットで観察するためのIPとPORTを定義
  • swipe_down : 画面をスワイプするようなジェスチャーを実行するために使用
  • grab_google_auth : Google認証アプリを開き、コードを取得
  • activate_screen : 画面を有効にします。TeaBotはデバイスの画面を制御する機能を持っている(例:画面が暗くならないようにすることが可能)

コメント

タイトルとURLをコピーしました