フィンランド運輸通信庁(Traficom)は、オンライン銀行口座への侵入を試みる現在進行中のAndroidマルウェアキャンペーンについて警告している。
同庁は、フィンランド語で書かれたSMSメッセージが、ある番号に電話をかけるよう受信者に指示する複数の事例を取り上げている。電話に出た詐欺師は、被害者に保護のためにマカフィーのアプリをインストールするよう指示する。
このメッセージは、銀行やMobilePayのような決済サービスプロバイダーから送信されているとされ、国内の通信事業者やローカルネットワークから送信されているように見せかけるために、なりすまし技術が使用されている。
しかし、マカフィーのアプリはマルウェアであり、脅威行為者は被害者の銀行口座に侵入することができる。
「サイバーセキュリティセンターが受け取った報告によると、ターゲットはマカフィーのアプリケーションをダウンロードするよう勧められている。(機械翻訳)
“ダウンロードリンクは、Androidデバイス用のアプリストアの外でホストされている.apkアプリケーションを提供しています。しかし、これはウイルス対策ソフトウェアではなく、携帯電話にインストールされるマルウェアである。”
同国の大手金融サービス業者であるOPフィナンシャル・グループも、銀行や国家当局になりすました詐欺的なメッセージについて、ウェブサイトで注意喚起を行っている。
警察もこの脅威を強調し、このマルウェアによって被害者の銀行口座にログインし、送金することが可能になると警告している。被害者が95,000ユーロ(102,000ドル)を失ったケースもある。
Traficom社によると、このキャンペーンはもっぱらAndroid端末を標的としており、AppleのiPhoneユーザーに対する個別の感染チェーンはないという。
トラフィコム
Vulturトロイの木馬の疑い
フィンランド当局はマルウェアの種類を特定できておらず、APKファイルのハッシュやIDも共有していないが、今回の攻撃は、Fox-ITのアナリストが最近報告したVulturトロイの木馬の新バージョンに関連するものと類似している。
Vulturの新バージョンは最近流通し始め、ハイブリッド型スミッシングと電話攻撃を使用してターゲットに偽のMcAfee Securityアプリをダウンロードさせ、回避のために最終的なペイロードを3つの部分に分けて導入します。
その最新の機能には、広範なファイル管理操作、アクセシビリティサービスの悪用、デバイス上で実行される特定のアプリのブロック、キーガードの無効化、ステータスバーでのカスタム通知の提供などが含まれます。
マルウェアをインストールしてしまった場合は、直ちに銀行に連絡して保護対策を有効にし、感染したAndroid端末の「工場出荷時設定」を復元してすべてのデータとアプリを消去する必要がある。
OPによると、顧客に電話で機密データの共有や、支払いの受け取りやキャンセルを可能にするためのアプリのインストールを求めることはないとのことなので、同様の要求は直ちに銀行のカスタマーサービスと警察に報告する必要がある。
グーグルは以前、アンドロイドに内蔵されたマルウェア対策ツール「プレイプロテクト」が、既知のバージョンのVulturから自動的に保護することを確認している。
Comments