Malwarebytesはこのほど、「Android malware turns phones into malicious tap-to-pay machines|Malwarebytes」において、Androidデバイスから登録の決済カードを読み取るマルウェアが発見されたと報じた。マルウェアはクレジットカードやデビットカードのデータを読み取り、即座に資金を盗むという。

  • Android malware turns phones into malicious tap-to-pay machines|Malwarebytes

    Android malware turns phones into malicious tap-to-pay machines|Malwarebytes

侵害経路

このマルウェアはCleafy脅威インテリジェンスチームにより発見され、「SuperCard X」と名付けられた。初期の侵害経路はショートメッセージサービス(SMS: Short Message Service)またはWhatsApp経由のスミッシングとされる(参考:「SuperCard X: exposing a Chinese-speaker MaaS for NFC Relay fraud operation | Cleafy」)。

多くの場合、攻撃者は銀行を装った緊急のメッセージを送付し、不審な支払いについて通知する。支払いの異議申し立て先として特定の番号を載せ、被害者に電話するよう誘導する。

電話先は攻撃者またはその関係者で、巧みなソーシャルエンジニアリング攻撃により被害者に次の操作を実行させる。

  • 登録カードをリセットまたは確認するように説得する。多くの被害者は操作に必要なPIN番号を思い出せないことを悪用し、モバイルバンキングアプリを通じたPIN番号の取得を案内してPIN番号を聞き出す
  • アプリ内のカード設定に移動させ、利用限度額を一時的に削除するよう指示する
  • セキュリティツールや検証ユーティリティに偽装したマルウェアをインストールさせる
  • クレジットカードやデビットカードの検証を求め、カードをデバイスの近くに置くように指示する
  • マルウェアはNFC経由でカード情報を読み取り、攻撃者に送信する
  • 攻撃者はカード情報を自分のAndroidデバイスに登録し、非接触型決済やATMから現金の引き出しを行う
  • 侵害経路 - 引用:Cleafy

    侵害経路 引用:Cleafy

影響と対策

Cleafyの調査によると、このマルウェアはほとんどのセキュリティソリューションの検出を回避するという。これは要求する権限を可能な限り少なくし、マルウェアとしての機能の多くを省略していることが理由とされる。

また、攻撃手法も脅威だと指摘されている。金融機関に依存しないことから影響が大きく、資金の迅速な移動と不正取引の即時性という二重のメリットを攻撃者にもたらし、比較的難易度が低く、成功率と効率が優れると高く評価している。

これらの調査結果から同社は警戒の強化を求めているが、Malwarebytesはこの攻撃手法に「マルウェアをインストールしなければ何もできない」という弱点があると述べ、防御は難しくないとして次の回避策の実践を提案している。

  • 金融機関からの緊急のメッセージを受け取った際には必ず一度冷静になる
  • メッセージに記載の連絡先は無視する
  • 正規のWebページなどから案内されているサポートセンターなどに電話して確認する

攻撃者は電話口での丁寧な対応が被害者を安心させ、誘導を可能にする効果があることを熟知している。電話口の指示によるカード操作や設定の変更、アプリのインストールは拒否するように心がけ、警戒を怠らないことが望まれている。