Cleafyはこのほど、「A new TrickMo saga: from Banking Trojan to Victim's Data Leak|Cleafy Labs」において、Androidを標的とする新しいバンキング型トロイの木馬を発見したと報じた。2024年6月に発見したこのマルウェアは「TrickMo」の亜種で、多要素認証(MFA: Multi-Factor Authentication)を回避できるという。

  • A new TrickMo saga: from Banking Trojan to Victim's Data Leak|Cleafy Labs

    A new TrickMo saga: from Banking Trojan to Victim's Data Leak|Cleafy Labs

侵害経路

マルウェアの初期感染経路は偽のChromeアプリとみられている。ユーザーが偽のChromeアプリをインストールすると、Google Playの更新を要求する警告メッセージが表示され「Google services」という名称の悪意のあるアプリをインストールするよう指示される。アプリをインストールして起動すると、アクセシビリティサービスの有効化が要求され、許可すると侵害される。

  • 侵害経路 - 引用:Cleafy

    侵害経路 引用:Cleafy

「TrickMo」の亜種

Cleafyの分析により、マルウェアは2019年に特定された「TrickMo」の新しい亜種と判明した。初期の主要機能は銀行アプリの認証情報の窃取で、現在は次の機能があるとされる。

  • SMS(Short Message Service)のメッセージおよび認証アプリのワンタイムパスワード(OTP: One Time Password)を窃取して、多要素認証を回避する
  • スクリーンの録画
  • 写真の窃取
  • キーロガー
  • デバイスの遠隔制御
  • アクセシビリティサービスを悪用した銀行アプリの制御
  • 高度な難読化による分析妨害
  • 高度な検出回避

影響と対策

Cleafyの調査により、攻撃者のコマンド&コントロール(C2: Command and Control)サーバには構成ミスが存在することが明らかになった。Cleafyは構成ミスを突くことでそのサーバにアクセスし、12GBの写真や機密情報を発見。このデータは誰でもアクセス可能なため、他の脅威アクターに漏洩した可能性がある。

また、サーバからオーバーレイ攻撃に用いたとみられる銀行サイトの偽のログインページが発見された。攻撃者はこれら偽のログインページを使用して、被害者から認証情報を窃取したものとみられている。

  • 偽のログインページの例 - 引用:Cleafy

    偽のログインページの例 引用:Cleafy

Cleafyは、このマルウェアにより写真を含む機密情報が広く漏洩した可能性があるとして注意を呼びかけている。影響を受けたユーザーはリスク評価を実施し、認証情報の更新、アイデンティティ監視サービスの活用などが推奨されている。なお、調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)は、データ漏洩を拡大させるとして原則非公開となっている。