研究者が「BingoMod」と呼ぶ新しいアンドロイドマルウェアは、デバイス上の詐欺技術を使って被害者の銀行口座から金銭を盗むことに成功した後、デバイスを消去することができる。
テキストメッセージを通じて宣伝されるこのマルウェアは、合法的なモバイルセキュリティツールを装い、1回の取引につき最大15,000ユーロを盗むことができる。
これを分析する研究者によると、BingoModは現在活発に開発が進められており、作者はコードの難読化や様々な回避メカニズムを追加して検出率を下げることに注力しているという。
BingoModの詳細
オンライン詐欺の管理および防止ソリューションであるCleafyの研究者は、BingoModがスミッシング(SMSフィッシング)キャンペーンで配布され、一般的にモバイルセキュリティツールを示す様々な名前(例えば、APP Protection、Antivirus Cleanup、Chrome Update、InfoWeb、SicurezzaWeb、WebSecurity、WebsInfo、WebInfo、APKAppScudo)を使用していることを発見した。
ある例では、マルウェアはGoogle Playで利用可能な無料のAVG AntiVirus & Securityツールのアイコンを使用しています。
インストール・ルーチンの間に、マルウェアは、デバイスの広範な制御を可能にする高度な機能を提供するAccessibility Servicesの使用許可を要求します。
いったんアクティブになると、BingoModはあらゆるログイン認証情報を盗み出し、スクリーンショットを撮り、SMSメッセージを傍受します。
オンデバイス詐欺(ODF)を実行するため、マルウェアはコマンドを受信するソケットベースのチャネルと、スクリーンショットのフィードを送信するHTTPベースのチャネルを確立し、ほぼリアルタイムのリモート操作を可能にします。
ODFは、被害者のデバイスから詐欺的な取引を開始するために使用される一般的な手法であり、本人確認と認証に依存する標準的な詐欺防止システムを欺くことができます。
VNCルーチンはAndroidのMedia Projection APIを悪用し、リアルタイムのスクリーンコンテンツを取得する。VNCルーチンはAndroidのMedia Projection APIを悪用し、リアルタイムの画面コンテンツを取得します。受信したコンテンツは適切なフォーマットに変換され、HTTP経由でTA(脅威行為者)のインフラに送信されます。
このルーチンの1つの特徴は、アクセシビリティサービスを活用できることです。”ユーザーになりすまし、Media Projection APIによって公開されるスクリーンキャストのリクエストを可能にします。”
リモートオペレータがBingoModに送信できるコマンドには、特定の領域をクリックする、指定した入力要素にテキストを書き込む、アプリケーションを起動するなどがある。
また、このマルウェアは、脅威行為者によって開始される偽の通知を通じて、手動によるオーバーレイ攻撃も可能にします。さらに、BingoModに感染したデバイスを使用して、SMSを通じてマルウェアをさらに拡散させることも可能です。
防御機能の無効化とデータの消去
BingoModは、被害者のデバイスからセキュリティソリューションを削除したり、脅威行為者がコマンドで指定したアプリの活動をブロックしたりすることができます。
検出を回避するため、マルウェアの作成者はコード平坦化と文字列難読化のレイヤーを追加しており、VirusTotalでのスキャン結果によると、これは意図した目標を達成しています。
マルウェアがデバイス管理アプリとしてデバイスに登録されている場合、操作者はリモートコマンドを送信してシステムをワイプすることができる。研究者によると、この機能は転送に成功した後にのみ実行され、外部ストレージのみに影響を与える。
完全なデータ消去を行うには、脅威者がリモートアクセス機能を使用してすべてのデータを消去し、携帯電話をシステム設定からリセットする可能性がある。
BingoModは現在バージョン1.5.1であるが、Cleafyによれば、初期の開発段階にあるようだ。
コード内のコメントから、研究者はBingoModがルーマニアの開発者の作品ではないかと考えている。しかし、他の国の開発者が貢献している可能性もある。
Comments