欧州全域のユーザーを標的としたキャンペーンで配信されたAndroidバンキングマルウェア「TrickMo」の新たな亜種は、新たなコマンドを導入し、ステルス性の高いコマンド・アンド・コントロール通信にThe Open Network(TON)を使用している。
TrickMoバンカーは2019年9月に初めて発見され、その後も常にアップデートを受けながら活発に開発を続けている。
2024年10月、Zimperiumは、16のドロッパーを介して配信され、22の異なるコマンド・アンド・コントロール(C2)インフラストラクチャと通信し、世界中のユーザーが所有する機密データを標的とするマルウェアの40の亜種を分析しました。
最新の亜種はThreatFabricによって発見され、ThreatFabricはこの亜種を「Trickmo.C」として追跡しています。研究者はこのバージョンを1月から観測しています。
ThreatFabricは本日発表したレポートの中で、このマルウェアはTikTokやストリーミングアプリを装い、フランス、イタリア、オーストリアのユーザーのバンキングや暗号通貨のウォレットを標的にしていると述べている。
現在の亜種の主な新機能は、感染したデバイス上で実行されている組み込みのローカルTONプロキシを経由してルーティングされた.ADNLアドレスを使用する、オペレータとのTONベースの通信です。
TONは、もともとTelegramエコシステムを中心に開発された分散型ピアツーピアネットワークで、デバイスが一般に公開されたインターネットサーバーではなく、暗号化されたオーバーレイネットワークを介してウェブと通信することを可能にする。
TONは、通常のドメインの代わりに256ビットの識別子を使用し、IPアドレスと通信ポートを隠すことで、実際のサーバーインフラを特定、ブロック、テイクダウンすることを難しくしている。
「従来のドメインのテイクダウンは、ほとんど効果がありません。なぜなら、オペレータのエンドポイントは、パブリックDNS階層に依存せず、オーバーレイネットワーク自体の内部で解決されたTON .adnlのIDとして存在するからです」とThreatFabricは説明しています。
「ネットワークエッジのトラフィックパターン検出では、TONトラフィックのみが検出されます。トラフィックは暗号化されており、他のTON対応アプリケーションのアウトバウンドフローと区別がつきません。
出典:TreatFabric:ThreatFabric
TrickMoの機能
TrickMoは、ローダーおよび永続化レイヤーとして機能するホストAPKと、攻撃機能を実装するランタイムにダウンロードされるAPKモジュールという、2段階の設計を持つモジュール型マルウェアです。
このマルウェアは、フィッシング・オーバーレイを介して銀行の認証情報を標的とし、キーロギング、画面録画、ライブ画面ストリーミング、SMSの傍受、OTP通知の抑制、クリップボードの変更、通知のフィルタリング、スクリーンショットのキャプチャを実行します。
ThreatFabricによると、この新しい亜種には、以下のコマンドと機能が追加されています:
- curl
- dnsLookup
- ping
- telnet
- トレースルート
- SSHトンネリング
- リモートポート転送
- ローカルポート転送
- 認証されたSOCKS5プロキシのサポート
研究者はまた、以前はネットワークとFirebaseの操作を傍受するために使用されていたPineランタイムフッキングフレームワークを発見したが、フックがインストールされていないため、現在は活動していない。
TrickMoはまた、広範なNFCパーミッションを宣言し、遠隔測定でNFC機能を報告しているが、研究者はアクティブなNFC機能を発見していない。
Androidユーザーは、Google Playからのみソフトウェアをダウンロードすること、携帯電話にインストールされるアプリの数を制限すること、信頼できるパブリッシャーのアプリのみを使用すること、Play Protectが常に有効であることを確認することが推奨される。
出典:https://www.bleepingcomputer.com/news/security/trickmo-android-banker-adopts-ton-blockchain-for-covert-comms/
Comments