The Hacker Newsは10月15日(現地時間)、「TrickMo Banking Trojan Can Now Capture Android PINs and Unlock Patterns」において、Cleafyにより発見されたバンキング型トロイの木馬「TrickMo」の亜種から、AndroidデバイスのPINコードを窃取できる新しい機能が発見されたと報じた。これはZimperiumが独自の分析調査を実施して明らかにしたもので、その概要は「Expanding the Investigation: Deep Dive into Latest TrickMo Samples - Zimperium」から確認できる。

  • TrickMo Banking Trojan Can Now Capture Android PINs and Unlock Patterns

    TrickMo Banking Trojan Can Now Capture Android PINs and Unlock Patterns

TrickMoの亜種

CleafyによるTrickMoの亜種の分析結果は「Androidマルウェアから情報流出、被害拡大のおそれ | TECH+(テックプラス)」で確認できる。この分析においてマルウェアからは複数の高度な機能が発見され、12GBもの機密情報の窃取が明らかになっている。

Cleafyはこの機密情報を攻撃者のコマンド&コントロール(C2: Command and Control)サーバから発見しているが、誰でもアクセス可能としてセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開していない。そこでZimperiumは独自の分析調査を実施し、その過程で次の新機能を発見した。

ロック解除パターンおよびPINコードの窃取

マルウェアの一部のサンプルからロック解除パターンおよびPINコードの窃取機能が確認された。マルウェアはロック解除画面をコピーしたWebサイトを全画面表示することでユーザーを騙し、ロック解除パターンおよびPINコードを窃取する。

  • 偽のロック解除およびPINコード入力画面 - 引用:Zimperium

    偽のロック解除およびPINコード入力画面  引用:Zimperium

影響と対策

Zimperiumは調査の過程で、Cleafyと同様にコマンド&コントロールサーバへのアクセスに成功している。サーバからは約13,000件のIPアドレスを含むファイルが発見され、その分析から侵害されたデバイス数は膨大で、窃取された機密情報も相当量とされる。

IPアドレスに基づく国別の被害者数の推計では、日本もわずかながら(1.0%未満)含まれていることが確認された。最も被害者の多い国はカナダ(約37.2%)で、これにアラブ首長国連邦(12.6%)が続く。この統計からTrickMoの被害は世界中に及んでいると推測されている。

  • 被害地域の分布図(色が濃いほど被害者が多い) - 引用:Zimperium

    被害地域の分布図(色が濃いほど被害者が多い)  引用:Zimperium

Zimperiumはこのマルウェアおよび類似のマルウェアの脅威からデバイスおよびユーザーを保護するには、プロアクティブで高度な防御策の導入が重要としている。また、調査の過程で判明したIoCを「IOC/2024-10-TrickMo at master · Zimperium/IOC · GitHub」にて公開しており、必要に応じて活用することが望まれている。