ThreatFabricは8月5日(現地時間)、「Chameleon is now targeting employees: Masquerading as a CRM app」において、Androidデバイスを狙うバンキング型トロイの木馬「Chameleon」を用いる新しいサイバー攻撃キャンペーンを発見したと報じた。今回のキャンペーンでは攻撃対象地域にカナダとヨーロッパが加わり、偽のCRMアプリを用いる珍しい手法が確認されたという。Chameleonを使用したサイバー攻撃は2023年12月にも確認されており、その概要は「生体認証を回避するAndroidバンキング型トロイの木馬登場、要注意 | TECH+(テックプラス)」にて報じている。

  • Chameleon is now targeting employees: Masquerading as a CRM app

    Chameleon is now targeting employees: Masquerading as a CRM app

侵害経路

今回のキャンペーンは具体的な初期感染経路が明らかにされていない。過去のChameleon配布キャンペーンではフィッシング攻撃などが行われており、今回も同様の手法が用いられた可能性がある。

被害者が何らかの手法で配布された悪意のあるCRMアプリをインストールすると、偽のログインページが表示され従業員IDの入力を求められる。従業員IDを入力するとエラーメッセージが表示され、アプリの再インストールを要求される。要求に応じて再インストールを実施すると、その過程でアクセシビリティーサービスの有効化が要求され、最終的にChameleonがインストールされる。

  • 偽のログインページと再インストールの要求画面 - 引用:ThreatFabric

    偽のログインページと再インストールの要求画面 引用:ThreatFabric

CRMアプリに偽装

今回のキャンペーンでは偽アプリに「Employee CRM」などのファイル名が使用されている。このことから、主な標的は接客業の従業員またはB2C(Business to Consumer:企業対消費者間取引)企業の従業員と推測されている。CRMアプリを必要とするこれら従業員は、ある程度の役職および資金管理が可能な立場と考えられ、脅威アクターはそのような人物のデバイスを狙った可能性がある。

資金管理をしている従業員のデバイスが侵害され、企業の銀行口座に不正アクセスされた場合の被害は甚大なものと予想される。そのため、金融機関にはモバイルデバイスの異常な活動と不正アクセスを検出できるバンキングアプリを開発し、企業資産を保護することが望まれている。