セキュリティ企業のIntel 471はこのほど、「Android trojan TgToxic updates its capabilities|Intel 471」において、Android向けバンキング型トロイの木馬「TgToxic」の改良版を用いたサイバー攻撃を特定したとして、その分析結果を公開した。
バンキング型トロイの木馬「TgToxic」の進化
TgToxicは2022年にTrendMicroにより発見されたバンキング型トロイの木馬だ。発見当初は東南アジアのAndroidユーザーを標的に配布され、金融資産の窃取に使用された(参考:「TgToxic Malware’s Automated Framework Targets Southeast Asia Android Users | Trend Micro (US)」)。
発見から約2年後の2024年10月、CleafyはTgToxicを改良した亜種「ToxicPanda」を発見、その分析結果を公開した(参考:「Androidから直接送金するマルウェアに注意、日本でも被害 | TECH+(テックプラス)」)。この亜種は開発の初期段階にあるとされ、脅威の拡大が懸念されていた。
その分析結果公開からわずか18日後の11月22日、Intel 471はTgToxicのさらなる改良バージョンを発見した。この改良バージョンはCleafyの分析をフィードバックして改良されたものと推測されている。しかしながら、このバージョンは数週間ほどしか使用されず、その次のバージョンが登場した。Intel 471はこの最新バージョンも入手して分析し、今回のレポートを公開した。
最新バージョンの分析
Intel 471の研究者は「mta164.bwhite[.]com」のオープンディレクトリからTgToxicの各サンプルを入手。そのため、実際の攻撃においてマルウェアを配布した手法は明らかになっていない。
研究者の分析により明らかになった最新バージョンの特徴は次のとおり。
- 分析を妨害するエミュレーション防止技術が大幅に向上した。Androidのハードウェア情報とシステム情報を徹底的に評価し、エミュレーションを検出する。評価には実機特有のBluetooth機能、センサーの確認などに加え、ブランド、モデル、製造元などのデバイスプロパティセットの調査が含まれる
- コマンド&コントロール(C2: Command and Control)サーバのドメイン名を、ドメイン生成アルゴリズム(DGA: Domain Generation Algorithm)を使用して動的に決定するようになった。DGAを使用するとサーバの自動切り替えが可能となり、セキュリティソリューションを効果的に回避できるようになる
対策
Intel 471は同様の攻撃からAndroidデバイスを保護するため、次の対策を推奨している。
- 公式アプリストア以外からのアプリのインストールを行わない
- Androidの設定を確認し、「不明なソースからのアプリの許可」を無効にする
- バイスの通信を直接監視する
- アプリの権限に注意する。悪用されることの多い「アクセシビリティサービス」には特に注意する
- 従業員に定期的なセキュリティトレーニングを実施する
TgToxicの開発者はセキュリティ企業による分析を監視しているとみられ、この分析についても対抗策を講じると推測される。また、当初は東南アジアのAndroidユーザーのみを標的としていたが、対象地域を拡大する試みがみられ、現在はすべてのAndroidユーザーに継続的な警戒が推奨されている。