Cleafyは12月4日(現地時間)、「DroidBot: Insights from a new Turkish MaaS fraud operation|Cleafy Labs」において、Android向けの新しいバンキング型マルウェア「DroidBot」を発見したと報じた。

このマルウェアは遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)としての機能を併せ持ち、EU(European Union:欧州連合)を中心とした金融機関の顧客が標的としている。

  • DroidBot: Insights from a new Turkish MaaS fraud operation|Cleafy Labs

    DroidBot: Insights from a new Turkish MaaS fraud operation|Cleafy Labs

侵害経路

DroidBotはGoogle ChromeやGoogle Playストアアプリに偽装したサンプルが発見されている。これらサンプルの配布サイトの分析から、人気のアプリ(セキュリティ関連、Googleサービス、金融アプリ)に偽装してマルウェアが配布されたものと推測されている。

Androidデバイスの侵害手法は他のマルウェアと同様、アクセシビリティサービスを悪用した手法とされる。インストールの初期段階で権限を要求し、許可されると次の機能を攻撃者に提供する。

  • ショートメッセージサービス(SMS: Short Message Service)を監視してメッセージを窃取
  • キーロガー
  • オーバーレイ攻撃。標的アプリの画面に偽のログイン画面を被せるように表示して、認証情報を窃取する
  • 定期的なスクリーンショットの窃取
  • 遠隔操作

サービスとしてのマルウェア

Cleafyはマルウェアのサンプルを分析することで、このマルウェアがマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として販売されていることを特定した。マルウェアの活動開始時期は2024年中頃とされるが、販売開始は2024年10月ごろと推測されている。

  • DroidBotを宣伝する初期の投稿 - 引用:Cleafy

    DroidBotを宣伝する初期の投稿 引用:Cleafy

インフラストラクチャの分析では、コマンド&コントロール(C2: Command and Control)サーバとの通信にMQTTプロトコルを使用していることが確認された。通信データは暗号化されているが、Cleafyは復号のルーチンを解析することで、通信の傍受に成功している。

DroidBotの開発者が投稿したフォーラムの分析からは、アフィリエイトとしてグループに参加することに興味のある脅威アクター向けにTelegramチャネルを開設していることが確認された。そのTelegramの投稿からマルウェアが月額3,000ドルのサブスクリプションで、開発者はトルコに居住している可能性が高いことが明らかになっている。

影響

分析時におけるマルウェアを悪用している脅威グループは17グループと推測されている。被害者は英国、イタリア、フランス、トルコ、ドイツのユーザーで、少なくとも776台のデバイスが侵害されたとみられている。

オーバーレイ攻撃の標的となっているアプリは77個確認されており、金融機関のアプリが主要ターゲットとされる。Cleafyは通常の対応として標的アプリの一覧を非公開としているが、今回は幅広いモバイルアプリケーションに影響があるとして、特別にセキュリティ侵害インジケーター(IoC: Indicator of Compromise)の中で一覧を公開している。

現在は英国、イタリア、フランス、スペイン、ポルトガルなどの国で活発なキャンペーンが観測されている。Cleafyはラテンアメリカへの拡大の可能性があるとして、警戒を呼びかけている。