攻撃者がデバイス上で不正を行うことができるリモートアクセス機能を備えた「Octo」というAndroidバンキングマルウェアが発生していることがわかりました。
2021年半ば、Android搭載バンキングマルウェアの新種が野放しになっていることが確認されました。一部のAV企業は、これを「Coper」という名前の新しいファミリーと呼んでいましたが、ThreatFabricの脅威インテリジェンスではかなり有名なマルウェアファミリー「Exobot」の直接の後継としています。
2016年に初めて観測されたExobotは、トルコ、フランス、ドイツだけでなく、オーストラリア、タイ、日本に焦点を当てたさまざまなキャンペーンで金融機関をターゲットに2018年まで維持していました。その後、その「ライト」バージョンが登場し、ダークウェブフォーラムで「android」として知られる製作者によってExobotCompactと名付けられました。
Octoは、ソースコードが流出したトロイの木馬「Exo」をベースにしたマルウェアの亜種「ExoCompact」を進化させたAndroidマルウェアとされています。
デバイス上での不正行為機能まとめ
ExoCompactと比較して、Octoの重要な新機能は攻撃者がAndroidデバイスを遠隔操作してオンデバイス詐欺(ODF)を実行できるようにする高度なリモートアクセスモジュールが搭載していることです。
リモートアクセスは、AndroidのMediaProjectionによるライブスクリーンストリーミングモジュール(毎秒更新)およびAccessibility Serviceによるリモートアクションを通じて実行されています。
Octoは遠隔操作を隠すために黒い画面オーバーレイを使用し、画面の明るさをゼロに設定し、「中断なし」モードを有効にしてすべての通知を無効化します。
デバイスの電源が切れているように見せかけることで、マルウェアは被害者に気づかれることなく様々なタスクを実行することができます。これらのタスクには、画面のタップ、ジェスチャー、テキストの書き込み、クリップボードの変更、データの貼り付け、および上下のスクロールが含まれます。
リモートアクセスとは別にOctoは強力なキーロガーを搭載しており、感染したAndroid端末上での被害者の行動をすべて監視・記録することができます。
これには、入力されたPIN、開いたウェブサイト、クリックされた要素、フォーカス変更イベント、テキスト変更イベントなどが含まれます。
最後に、Octoは様々なコマンドのリストをサポートしており、最も重要なものは以下の通りです。
- 指定したアプリケーションからのプッシュ通知のブロック
- SMSの傍受
- サウンドの無効化、画面の一時的なロック
- 指定したアプリケーションの起動
- リモートアクセスセッションの開始/停止
- C2リストの更新
- 指定されたURLを開く
- 指定した電話番号に指定した文面のSMSを送信
Octoは、ロシア語圏のXSSハッキングフォーラムなどのフォーラムで、”Architect “や “goodluck “という偽名を使った攻撃者によって販売されています。
Comments