Malwarebytesは11月4日(米国時間)、「"Sneaky" new Android malware takes over your phone, hiding in fake news and ID apps|Malwarebytes」において、Androidデバイスを乗っ取る新しいマルウェアが発見されたと伝えた。

これはCyfirmaのセキュリティ研究者により発見されたバンキング型トロイの木馬で、「Googleニュース」などの信頼できるアプリに偽装して配布されたという。

  • "Sneaky" new Android malware takes over your phone、hiding in fake news and ID apps|Malwarebytes

    "Sneaky" new Android malware takes over your phone, hiding in fake news and ID apps|Malwarebytes

マルウェアの機能

このマルウェアは研究者により「Android/BankBot-YNRK」と名付けられている。このマルウェアを実行すると最初に環境の分析が行われ、本物のAndroidデバイスを検出した場合にのみ攻撃を継続するという。さらにデバイスの型式を識別する機能があり、攻撃対象として登録のあるデバイスを検出すると攻撃が進行し、アクセシビリティサービスの権限を要求してデバイスを侵害するとされる。

  • 本件マルウェアにアクセシビリティーサービスを許可すると表示される全画面メッセージの例 - 引用:Cyfirma

    マルウェアにアクセシビリティサービスを許可すると表示される全画面メッセージの例 引用:Cyfirma

侵害は音楽、着信音、通知などのオーディオストリームを無音にすることから始まる。これは被害者に気づかれる可能性を低減する目的があると推測されている。

次に永続性の確保やデバイスの管理権限を取得すると、銀行アプリや仮想通貨関連のアプリの起動を待機する。ユーザーがこれらアプリを起動すると、オーバーレイ攻撃を使用して認証情報などを窃取する。

マルウェアが備えている機能

Cyfirmaの調査によると、このマルウェアには次の追加の機能があるとされる。

  • アプリのインストール、アンインストール、画面の更新、アプリの実行
  • 画面のロック解除、移動、点灯、閉じる、クリック、スワイプ、ジェスチャなどの操作
  • アクセシビリティサービスの有効/無効化、デバイス管理者権限の設定、インプットメソッドエディター(IME: Input Method Editor)の変更
  • 連絡先、ショートメッセージサービス(SMS: Short Message Service)のメッセージ、インストールされているアプリの一覧、デバイスのステータス、位置情報の窃取
  • 通話の転送、転送のキャンセル、SMSの送信
  • カメラ撮影、フローティングウィンドウやスクリーンマスクの非表示、入力フィールドへのテキスト設定
  • ファイルのダウンロード、アンロード、アンロードルーチンのキャンセル
  • クリップボードデータの窃取

攻撃対象とみられる銀行アプリは62件、暗号資産関連アプリは16件が発見されている。対象にはビットコインも含まれており、世界中のAndroidユーザーの脅威となっている。

対策

今回、正規アプリに偽装して配布する手法が用いられている。そのため非公式の配布サイトからアプリをインストールしなければ攻撃を回避することができる。MalwarebytesはAndroidユーザーに対してGoogle Play、iPhoneユーザーに対してApple App Storeを使用するように推奨している。

すでに侵害された可能性のあるユーザー向けの対策としては、アプリの権限を確認することが提案されている。オーバーレイ攻撃などの手法を用いるマルウェアは、アクセシビリティサービスの権限を要求することが多く、この権限を要求するアプリが本当に正規のアプリか確認するように求めている。

Cyfirmaは分析レポートの中で同様の攻撃に対抗するための推奨事項と軽減策に加え、セキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開している。企業や組織の管理者にはこれら情報を活用し、マルウェアおよび未知の攻撃からモバイル環境を保護することが望まれている。