DroidBot」と名付けられた新しいAndroidバンキングマルウェアは、英国、イタリア、フランス、スペイン、ポルトガルの77以上の暗号通貨取引所とバンキングアプリの認証情報を盗もうとしている。
この新しいAndroidマルウェアを発見したCleafyの研究者によると、DroidBotは2024年6月から活動しており、マルウェア・アズ・ア・サービス(MaaS)プラットフォームとして運営され、月額3,000ドルでツールを販売している。
少なくとも17のアフィリエイト・グループが、特定のターゲット向けにペイロードをカスタマイズするためにマルウェア・ビルダーを使用していることが確認されています。
DroidBotには斬新で洗練された機能はないものの、ボットネットの1つを分析したところ、英国、イタリア、フランス、トルコ、ドイツで776件のユニークな感染が確認され、重要な活動が行われていることが分かった。
また、Cleafyによると、このマルウェアは、ラテンアメリカを含む新たな地域への拡張を試みている兆候があり、現在、大規模な開発が行われているようだという。
DroidBot MaaSの活動
トルコ人と思われるDroidBotの開発者は、攻撃を行うために必要なすべてのツールをアフィリエイトに提供している。これには、マルウェア・ビルダー、コマンド・アンド・コントロール(C2)サーバー、中央管理パネルが含まれ、ここから操作を制御し、盗まれたデータを取得し、コマンドを発行することができる。

ソースはこちら:Cleafy
複数のアフィリエイトが同じC2インフラ上で活動し、各グループに固有の識別子が割り当てられているため、Cleafyは17の脅威グループを特定することができます。

Source: Cleafy:Cleafy
ペイロードビルダーにより、アフィリエイトはDroidBotをカスタマイズして、特定のアプリケーションをターゲットにしたり、異なる言語を使用したり、他のC2サーバーアドレスを設定したりすることができます。
アフィリエイトはまた、詳細なドキュメントへのアクセス、マルウェアの作成者によるサポート、アップデートが定期的に公開されるTelegramチャンネルへのアクセスも提供される。
全体として、DroidBot MaaSの運用は、経験の浅いサイバー犯罪者やスキルの低いサイバー犯罪者にとって、参入障壁をかなり低くしている。

Source:Cleafy
人気アプリになりすます
DroidBotは、ユーザーを騙して悪意のあるアプリをインストールさせる方法として、Google Chrome、Google Playストア、または「Android Security」を装うことがよくあります。
しかし、いずれの場合も、アプリから機密情報を盗み出そうとするトロイの木馬として動作します。

ソースはこちら:Cleafy
このマルウェアの主な機能は以下のとおりです:
- キーロギング – 被害者が入力したすべてのキーストロークをキャプチャする。
- オーバーレイ – 正規のバンキング・アプリのインターフェイスの上に偽のログイン・ページを表示する。
- SMSの傍受– 受信したSMSメッセージ、特にバンキングサインイン用のワンタイムパスワード(OTP)を含むメッセージをハイジャックします。
- Virtual Network Computing– VNCモジュールにより、アフィリエイトは感染したデバイスをリモートで表示および制御し、コマンドを実行し、悪意のある活動を隠すために画面を暗くすることができます。
DroidBotの動作の重要な点は、Androidのアクセシビリティ・サービスを悪用してユーザーの行動を監視し、マルウェアに代わってスワイプやタップをシミュレートすることです。従って、アクセシビリティ・サービスのような奇妙なパーミッションを要求するアプリをインストールした場合は、直ちに不審に思い、その要求を拒否する必要がある。
DroidBotが認証情報の窃取を試みる77のアプリのうち、目立ったものとしては、Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken、Garanti BBVAなどがある。
この脅威を軽減するために、AndroidユーザーはGoogle Playからのみアプリをダウンロードし、インストール時に許可要求を精査し、デバイス上でPlay Protectが有効になっていることを確認することをお勧めします。
Comments