ThreatFabricは3月28日(現地時間)、「Exposing Crocodilus: New Device Takeover Malware Targeting Android Devices」において、Androidを標的とする非常に強力なバンキング型トロイの木馬「Crocodilus」を発見したと報じた。

Crocodilusは既知のマルウェアの亜種ではなく、最初から本格的な脅威として開発された最新技術を備えるマルウェアとされる。

  • Exposing Crocodilus: New Device Takeover Malware Targeting Android Devices

    Exposing Crocodilus: New Device Takeover Malware Targeting Android Devices

侵害経路

初期の侵害経路は偽のChromeアプリの配布だという。アプリに誘導した手法は不明だが、偽のChromeアプリはマルウェアドロッパーを含み、Android 13以降の制限を回避するという。アプリをインストールするとアクセシビリティーサービスの有効化を求め、デバイスを侵害する。

  • アクセシビリティーサービスの有効化を要求する画面の例 - 引用:ThreatFabric

    アクセシビリティーサービスの有効化を要求する画面の例 引用:ThreatFabric

マルウェアはコマンド&コントロール(C2: Command and Control)サーバに接続し、指示を受け取る。その後は指示に従いアプリケーションの起動を監視する。標的アプリが起動されると認証情報を窃取するオーバーレイ攻撃を実施する(参考:「サイバー攻撃に悪用されるAndroidのオーバーレイ、どう守るか? | TECH+(テックプラス)」)。

ThreatFabricの分析により特定されたマルウェアの主な機能は次のとおり。攻撃者は黒いオーバーレイ表示とミュートを組み合わせ、遠隔操作を隠蔽したことが確認されている。

  • オーバーレイ攻撃
  • すべてのテキスト変更を記録する強力なキーロガー
  • 遠隔操作
  • Google Authenticatorのスクリーンキャプチャー
  • 各種情報の窃取
  • SMSの送信
  • アプリの起動
  • 黒いオーバーレイの表示
  • サウンド(電話含む)のミュート
  • フロントカメラで動画撮影

暗号資産ウォレットを標的とする攻撃ではシードフレーズ(別名:リカバリーフレーズ)の入力を求めるオーバーレイ攻撃も確認されている。被害者がシードフレーズを入力すると、ウォレットを完全に乗っ取られる可能性がある。

  • 偽の脅迫メッセージを表示して、シードフレーズの入力を要求する例 - 引用:ThreatFabric

    偽の脅迫メッセージを表示して、シードフレーズの入力を要求する例 引用:ThreatFabric

影響と対策

マルウェアの主な標的はスペインとトルコの銀行アプリおよび暗号資産ウォレットとされる。マルウェアは高価値の資産を狙うよう設計されており、標的地域の拡大と被害の増加が予想されている。

ThreatFabricはシグネチャベースの検出方法では保護できないとして、金融機関および暗号通貨関連企業に動作ベースのリスク分析を含む階層化されたセキュリティ対策の実装を推奨している。