Cleafyは7月31日(現地時間)、「SpyNote continues to attack financial institutions|Cleafy Labs」において、脅威アクタがSpyNoteと呼ばれるAndroid向けのスパイウェアを使用し、銀行詐欺を行っていると伝えた。

  • SpyNote continues to attack financial institutions|Cleafy Labs

    SpyNote continues to attack financial institutions|Cleafy Labs

Cleafyによると、ここ数カ月でSpyNoteの感染が増加し、さまざまな銀行のヨーロッパの顧客が攻撃対象になっているという。SpyNoteは主にフィッシングメールやスミッシングキャンペーンを通じて配布され、SpyNoteを使った遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)攻撃とヴィッシング(Vishing)攻撃を組み合わせた銀行詐欺が行われているとみられる。

SpyNoteは多くの機能を備えたスパイウェアで、広範囲なデータ収集、キーロギング、GPSの追跡などを行う。今回はスパイウェアとしてのみならず、銀行詐欺を行うためのツールとしてSpyNoteが利用されていることが確認された。なお、SpyNoteは他のAndroid向けマルウェアと同様に、アクセシビリティサービスを悪用して必要なアクセス許可を自動で取得し、永続化や隠蔽なども行う。

現在、EUの金融機関の顧客は強力な顧客認証(SCA: Strong Customer Authentication)をパスしなければ金融取引は制限される。Cleafyによると、攻撃者はSpyNoteを使いショートメッセージサービス(SMS: Short Message Service)からPINコードを取得し、Google認証システムアプリを遠隔操作して一時コードを取得するなどして、認証を突破する可能性があるとしている。

Cleafyは最近のSpyNoteを使ったキャンペーンを観察した結果、攻撃者は今後もSpyNoteを使用して銀行詐欺を行うと予想している。これはSpyNoteに高度で広範囲なスパイウェアとしての機能や拡張性があり、攻撃者にとって便利なツールであるためと考えられる。

被害を軽減するには、フィッシングメールやスミッシングキャンペーンについて理解して注意する必要がある。また、Androidユーザーはアクセシビリティサービスへのアクセス許可を慎重に取り扱うことが求められる。