シマンテックは1月12日、音声通話ベースの2段階認証(2FA)システムを傍受するAndroidマルウェアがあることをセキュリティブログで明かした。
同社は発見したマルウェアを「Android.Bankosy」と呼んでいる。Android.Bankosyは以前からあったが、バージョンアップされて2段階認証を傍受する機能が追加された。
音声ベースの2段階認証とは、一般的なワンタイムパスワードの送信方法が異なる。一般的には、電話番号を利用したショートメッセージサービス(SMS)で送信する。一部の金融機関などでは、セキュリティを高めるために音声通話による送信を採用している。
攻撃者は、Android.Bankosyをデバイスの侵入させ、まずバックドアを開いてシステム固有情報のリストを収集する。次にコマンド&コントロール(C&C)サーバーに送信してデバイスの情報を登録する。攻撃者は、C&Cサーバー経由でコマンドを送信し、Android.Bankosyが実行する。
Android.Bankosyには「call_forwarding」という特殊なコマンドを実行する機能を備え、C&Cサーバーからコマンドを受け取ると、ペイロードを実行して通話を転送する。
アジア太平洋地域の多くの電話会社には、通話を無条件で転送するための発信番号を用意している。Android.Bankosyは、C&Cサーバーから受け取った発信番号を使ってこのコマンドを発行すれば、デバイスから無条件で通話を転送できる。
攻撃者は、2段階認証のパスワードを盗み出すことに成功することで、感染後の初期段階で盗みだした資格情報と組み合わせて、ユーザーになりすましてサービスにログインできる恐れがある。
シマンテックでは、ソフトウェアは最新の状態に保ち、見たことのないサイトからアプリをダウンロードすることは避けるなど、十分なセキュリティ対策をするように呼び掛けている。