セキュリティー・インテリジェンス

Google Play ストアに20を超えるモバイル・マルウェア「BankBot」感染アプリが新たに侵入

記事をシェアする:

フラッシュライト・アプリ? 偽造ビデオ? あるいは偽造ゲーム・アプリでしょうか? それらのいずれもが悪意のあるモバイル・マルウェアを内包している可能性があります。しかも、れっきとした信頼のある公式アプリ・ストアでのことです。現状の動向で、IBM の世界的なセキュリティー研究開発機関である X-Force は、悪意のあるアプリが何とかして制御を回避し、正当なストアに潜入することに着目しています。とは言っても、これはアプリ・ストアでユーザーに感染する過剰なアドウェア・アプリの話ではありません。これも確かにほぼ日常茶飯事になっていますが、むしろバンキング・マルウェアが今では Google Play において常連アプリの座を確保しつつあります。

BankBot は、過去数カ月の間に Play ストアに入ってきたモバイル・バンキング型トロイの木馬の 1 つであり、ウィジェットや悪意のないアプリに見せかけてうまくすり抜けてきました。これらのアプリを見つけ出して削除した後でも (厳密に言えば、数百にも上る数でした)、BankBot は相変わらず何とか侵入方法を見つけ出し、不注意なユーザーに感染しているようです。

IBM X-Force のモバイル・リサーチャーは、最近の検知実績で、Google の Play ストアに侵入した悪意のある Android アプリで BankBot を配布する機能を持つものを少なくとも 20 種類特定しました。

公式アプリ・ストア内で場所を獲得することは、モバイル・マルウェアを操作するサイバー犯罪者にとって効果的であると同時に有益なことです。第一には、マルウェアの配布にコストをかける必要がありません。スパム・リスト、SMS メッセージのやり取り、一括 E メールの送信などに関連するコストを節約できます。これらの方法では、サード・パーティー・ストアからアプリをわざわざクリックしてダウンロードする必要があり、さらに、非正規アプリのサイド・ローディングが有効となっていることを前提条件としています。これでは成功の見込みは高くありません。

第二に、公式ストアなら、悪意のあるアプリは多くの人の目に触れることになります。公式ストアでは毎日何億人という人々がアプリを検索しているのです。
悪意のあるアプリに乗っ取られたコンピューターのネットワークであるボットネットは、常に数のゲームです。困難を乗り超えて、公式ストアに侵入したマルウェアは、正当なソースからアプリをダウンロードすることに付随する信頼を享受することができます。それはまるで、より多くのアプリ・アクセス権が悪意のあるアプリケーションに付与されるようなものです。

 

危険な上昇トレンド

不正なAndroidアプリが公式アプリ・ストアに侵入するのは、決して新しいことではありません。 犯罪者達は正当なストアへの侵入経路を何とか探し出して、マルウェアを隠したり、バックグラウンド実行されるアプリ更新の中に含めたりしているようです。

上昇トレンドは以下のとおりです。アドウェアおよびその他の迷惑アプリが過去数年間に公式アプリ・ストアに侵入する一方、ますます多くのバンキング・マルウェアが信頼のおけるダウンロード・ソースの中に確認されつつあります。この傾向には極めて大きな問題があります。というのは、公式ストアのユーザーにまったく異なるレベルの脅威をもたらすからです。つまり、ユーザーにモバイル・バンキング型トロイの木馬をダウンロードさせることになり、インストールに続く数週間から数カ月間に、詐欺的な金融活動が膨大に増加するのを避けられなくなる可能性があります。

 

BankBot — ストアで詐欺の機会を狙う

BankBot マルウェアが初めて登場したのは 2017年1月でした。当初出回っていたものは、Android.BankBot.149, go_p00t として識別され、後に BankBot および Mazain という名前が付けられました。本質的に言えば、これらのマルウェアの名前はすべて、検知された直後に漏えいした同じコード・ベースに関連しています。

X-Force のリサーチによると、現時点で BankBot が影響を及ぼすのは、Android ベースのモバイル・デバイスのみです。BankBotは、モバイル・バンキング型トロイの木馬のオーバーレイ・クラスの一種であり、正当なアプリの最上位で偽造のアクティビティー画面を使用してユーザーを誘い込み、その銀行取引とペイメント・カードの資格情報を開示させます。BankBot は、金融詐欺に目的を合わせて作成されており、ID 盗用、アカウント乗っ取り、および他のデバイスへのマルウェアばらまきのためにサイバー犯罪者によって使用されます。

2017 年 4 月、IBM X-Force のリサーチャーは、このマルウェアでは公式 Play ストアに侵入するためにもう 1 つの注目すべき方法が使用されているという見解を述べました。それによると、初めの段階では愉快なビデオを表示すると銘打った悪意のないアプリケーションを装います。しかし、ダウンロードされ実行された後で、アプリはそれ自体を更新して、マルウェア・モジュールを取得して元のアプリケーション内にインストールします。この方法で、以前には悪意のなかったアプリを、そのデバイス上でのアクセス権と持続性を完璧に備えたモバイル・バンキング型マルウェアに実質的に変身させます。

 

BankBot の詐欺手口

モバイル・マルウェア以前には、不正取引を行うために銀行アカウントを乗っ取ろうとしたサイバー犯罪者は、SMS ベースの 2 要素認証の壁に阻まれ、動きが取れなくなることがありました。

フィッシング攻撃を開始した者は、外部認証を採用する銀行が増えるにしたがって、自分たちの攻撃能力が減退していくのを認識しました。この認証方式を迂回するために、彼らは SMS ハイジャック・プログラムの作成を開始し、これに感染した PC の所有者を信用させ、アプリをスマートフォンにダウンロードするよう仕向けました。 このソーシャル・エンジニアリングは、しばらくの間機能しました。しかし、被害者たちにサイド・ローディングを有効にさせ、サード・パーティー・ストアから悪意のあるアプリを取得させるには、リソースと高度な策略が必須でした。

このような状況の中、BankBot のようなモバイル・バンキング型トロイの木馬が登場しました。それらは、サイバー犯罪者がアカウントを乗っ取るために一般的に使用する認証要素を一度に取得できる機能を保持しています。次に示すのは、犯罪者が BankBot のようなマルウェアを使用し、不正取引を実行するまでのフローです。

 

感染は、通常は一般的なユーザーが気付かないうちに、モバイル・デバイス上で開始される点に注意することが重要です。最終的に詐欺の試みが実行される場合、それはまったく異なるデバイスから実行されます。攻撃者は、自分自身のエンドポイントを使用して被害者の銀行の Web サイトにアクセスし、不正取引を開始します。ユーザーが、発生事象をつなぎあわせて2つがリンクしていることに気付くとはかぎりません。

BankBot によって表示された偽造更新メッセージで電話がロックされていることに被害者が気付くと、技術的な問題があるのではないかと考えることがあります。そのような場合には、携帯電話修理店に連絡したり、サービス・プロバイダーに電話をかけて問い合わせたりする可能性があります。たとえマルウェアの攻撃を受けたことに気付いたとしても、どのような種類のマルウェアであるかを知ることは困難であり、また、自分の銀行口座、場合によってはペイメント・カードの情報がその時点で漏洩していることが確実であったとしても、それを知ることは困難です。

この事態をさらに悪化させるのは、被害者が電話を受け取るのをマルウェアが妨害することです。したがって、銀行が不審な取り引きに気付いても、そのことについて被害者に連絡することができません。また、工場出荷状態に戻してしまった結果、不幸にも被害者は、感染の識別と分析に役立てることのできる、フォレンジックに有効な情報を消去してしまうことになります。

X-Force のリサーチによると、BankBot の亜種が 2017 年の 7 月にはスペインとフランスの銀行を盛んにターゲットにしています。 この投稿で説明している BankBot およびその手口は、IBM Trusteer Mobile SDK によって検知され、阻止されました。アカウント乗っ取りフェーズは、IBM Trusteer Pinpoint Detect から提供された全体論的なクロスチャネル検知機能を使用して検知されました。

図 1: デバイスの地域別の BankBot に感染したデバイス数 (出典: IBM Trusteer)

さらに、最近の BankBot のターゲット・リストには、オーストラリア、ドイツ、およびルーマニアの銀行も含まれています。

X-Force のリサーチでは、BankBot が Android のオーバーレイ・ボットであることに言及しています。それは、感染したデバイス上でターゲットとなったバンキング・アプリケーションが起動されるのをモニターし、次に一致する HTML オーバーレイをコントローラーのサーバーから動的に取り出します。そのオーバーレイはユーザーに表示されて、元のアプリが開いていてもそれを隠蔽し、ユーザーのオンライン・バンキング資格情報、クレジット・カードの詳細、またはログイン情報を要求します。ユーザーがそれらを入力すると、マルウェアはその詳細を攻撃者に平文で送信します。

このマルウェアは、インストール時にシステム更新を装って、そのデバイスに対するアプリの管理者特権を要求します。インストールが完了すると、アプリケーション・アイコンは表示されなくなりますが、アプリはバックグラウンドで実行され続けます。感染したデバイスが CIS (独立国家共同体: 旧ソ連の共和国によって構成) の国内に設置されていることを検知すると、BankBot は動作しません。これは、運用者の所在を暗に示しているようです。

BankBot は、被害者のアカウントで不正操作を実行しているときに、そのユーザーに介入されないようにするために、デバイスの画面をロックすることができます。そのためには、偽造更新メッセージを画面に表示して、ユーザーがデバイスへのアクセスを試みるのを遅延させます。さらにマルウェアはデータ引き出し機能を持っており、これによって着信 SMS メッセージをハイジャックして攻撃者に転送することを可能にし、その結果として SMS ベースの 2 要素認証の情報を漏えいさせます。

BankBot はアンダーグラウンドのフォーラムやコード共有サイトで市販されているので、そのターゲットにはヨーロッパ全域、とりわけスペインの銀行や、オーストラリア、ニュージーランドの銀行、アルゼンチンの一部の銀行などの長いリストが含まれています。場合によっては、ボットネットの運用者の目的に応じて、マルウェアは、それが狙いを定めているバンキング・アプリの Android スマートフォン・バージョンと Android タブレット・バージョンの両方をターゲットにします。

今後の展望

X-Force によって現在実施されているリサーチによれば、モバイル・マルウェアは過去数年間で非常に高度化してきており、その運用者が正当なアプリ・ストアの自動セキュリティー管理を迂回したとしても、驚くほどのことではないということです。

モバイル・マルウェアの世界にはさまざまなコードの漏洩が存在するので、悪意を持って活動する人の数は、着実に増加し続けています。とりわけ、PC ボットネットとは異なり、モバイル・マルウェアは高水準の技術的手腕を必要としないことがその理由になっています。同時に、これらの要素は、これまでよりも多くのユーザーを潜在的な詐欺の被害者に変えてしまうような脅威を絶えず引き起こしている要因になっています。

情報漏洩の指標

X-Force は、Google Play ストアに侵入した悪意のある BankBot アプリとして以下のアプリを特定しました。

# APK MD5 Package Name Date Entered Google Play
1 34D70B6A2C2B1B07128726499FAC19B1 com.detective.wid 22-Jul-17
2 4D51687ADB3B75DD18DD68A70204AE56 com.ak47fl.wid 21-Jul-17
3 FEFACA64DFE0BF6D7081CBBF6A05CCD5 com.comfl.wid 18-Jul-17
4 210B717194C265739F055B9D8BF4F5F2 com.defl.wid 13-Jul-17
5 0F996382F01E4502BCA36EF48A87BE86 com.simfl.wid 9-Jul-17
6 069BF2F0B21DA3579F7C76EF2B9284D1 com.safarifl.widg 26-Jun-17
7 5d68069e8d258c796af5011e27c11423 com.tactflashlight.widget 22-Jun-17
8 832ABF77D80FD9A204ABBEB7E7CA9E4A com.spyflashlight.widg 17-Jun-17
9 F4A0D659C8F7F79D0CD629296CA95478 com.flashdet.widg 17-Jun-17
10 3AE09A3D86BC1083A7B67C7827F510B1 com.ledflash.widg 11-Jun-17
11 69D0286289A18A2BCF8C1BAFD431B2B7 com.flashmarines.widget 9-Jun-17
12 A36FA1C70BB238A83547580ED013F8F7 com.flashwar.widg 8-Jun-17
13 A1007FCB2F238B1A0E63E6B195446086 com.goldflash.widg 7-Jun-17
14 F16FE16ACD942AA1AF79BE2BD1C1F923 com.goldwidg.flashlight 5-Jun-17
15 B534F3CA69BBDE1299CCDDDCB3591E5B com.pwidget.flashlight 4-Jun-17
16 F59D91BCF3CFC8C94E4345C218D9E41C com.eco.fwidget 31-May-17
17 9515BA4A7D3E9113402DE9F858E001A4 com.funfl.wid Unknown
18 9698340576e27fd11643e6869a192bd0 com.warfl.widget Unknown
19 DF22128F3C66BCC8074538E47DEC7544 com.flashpolice.widg Unknown
20 A543A7FE67C99EAC11F5E6B8C5F6B5FB com.flashlight.army Unknown

 

本書の執筆時点において、大半のアプリは既に Play ストアから削除されています。本書の執筆時点において稼働中のアプリについては、Google Play に対して開示しました。

X-Force は、BankBot を含むアプリの例として以下のアプリをキャプチャーしました。


モバイル・マルウェアは、評判の高いアプリ・ストアの利用者を詐欺の被害者に変えてしまう可能性があります。 IBM Trusteer Mobile SDK は、同じ手口で金融詐欺を行うように設計されたすべての亜種およびオーバーレイ・マルウェアを検知できるようになっています。IBM Trusteer Pinpoint Detect は、アカウント乗っ取りモジュールによる検知機能をお客様に提供します。

(出典:Security Intelligence より訳出 “After Big Takedown Efforts, 20 More BankBot Mobile Malware Apps Make It Into Google Play” By Limor Kessem Co-authored by Shachar Gritzman 2017年7月27日)

More セキュリティー・インテリジェンス stories
2019-10-31

SIEMとは何か?脅威の検出を強化する仕組みとは?

SIEM (セキュリティー情報/イベント管理:Security Information and Event M […]

さらに読む

2019-09-27

【オンデマンドWebセミナー】マルチクラウド時代におけるサイバーセキュリティーの考慮点

オンデマンドWebセミナーのご案内 マルチクラウド時代におけるサイバーセキュリティーの考慮点 今日、多くの企業 […]

さらに読む

2019-02-07

【オンデマンドWebセミナー】モバイル・デバイスをセキュアに活用して働き方改革を推進!

オンデマンドWebセミナーのご案内 モバイル・デバイスをセキュアに活用して働き方改革を推進! 多くの企業で既に […]

さらに読む