Group-IBはこのほど、「Story of an Uzbek Android Pandemic|Group-IB Blog」において、中央アジア地域の金融機関の顧客を標的にするAndroid向けバンキング型マルウェア「Ajina.Banker」を発見したと報じた。2024年5月に発見したこのマルウェアは正規アプリを装って配布され、多要素認証(MFA: Multi-Factor Authentication)を回避するという。

  • Story of an Uzbek Android Pandemic|Group-IB Blog

    Story of an Uzbek Android Pandemic|Group-IB Blog

感染経路

Group-IBの調査によるとマルウェアの配布キャンペーンは主に2023年11月から2024年7月にかけて実施されたという。現在も進行中とみられているが、2024年2月から3月にかけて戦術を進化させたと分析されている。

  • 新規感染者数の推移 - 引用:Group-IB

    新規感染者数の推移 引用:Group-IB

初期の感染経路はマルウェアを添付したメールや、Telegramを介したマルウェアの配布とみられる。後者が集中的に実施され、地域のコミュニティーチャット内にマルウェアを拡散しようとしたという。

マルウェアは銀行アプリ、政府関連アプリ、日常的なユーティリティーアプリに偽装したことがわかっている。攻撃者はこれらアプリに関する特別な報酬、オファー、サービスへの独占アクセス情報をリンクと共に投稿し、被害者にダウンロードさせている。

バンキング型マルウェア「Ajina.Banker」の概要

Androidユーザーを標的とするバンキング型マルウェア「Ajina.Banker」には次の機能があるとされる。

  • トロイの木馬
  • デバイス情報(SIMおよび電話番号を含む)の窃取
  • インストール済み金融関連アプリ一覧の窃取
  • SMS(Short Message Service:ショートメッセージサービス)のメッセージの窃取
  • アクセシビリティサービスを悪用した永続性の確保および権限の自動取得
  • フィッシングページを表示してキャッシュカード情報およびPINコードを窃取

影響と対策

このキャンペーンの主な標的はウズベキスタンのAndroidユーザーとされる。他にも米国、アゼルバイジャン共和国、アイスランド、カザフスタン共和国、キルギス共和国、パキスタン、ロシア、タジキスタン共和国、ウクライナのユーザーを標的とした可能性が示唆されている。

Group-IBは本件と同様の攻撃を回避するため、Androidユーザーに次のような対策の実施を推奨している。

  • オペレーティングシステムを含むすべてのソフトウェアを常に最新の状態に維持する
  • Google Play以外からアプリをダウンロードしない
  • アプリをインストールする前にアプリが必要とする権限を確認し、実際のインストール時に過剰な権限を要求されないか検証する
  • 不審なメールおよびメッセージに含まれるリンクにはアクセスしない

今回発見されたAjina.Bankerは複数の主要なアンチウイルスソフトウェアから検出可能とされる。そのため、Androidに対応したアンチウイルスソフトウェアの導入も望まれている。