新たに発見されたAndroidバンキング型トロイの木馬が、口座残高を奪うだけにとどまらず、スマートフォンをほぼ完全に掌握したうえで被害者を銀行から遮断し、不正行為を気づかれないまま進行させることが確認されました。
このマルウェアはコマンド&コントロール(C2)サーバーにちなんで「Rokarolla」と命名されており、モバイルセキュリティ企業Zimperiumの研究部門zLabsが詳細を公開しました。137のコマンドを備えたツールキットによって、217件の銀行・暗号資産アプリを標的にしていることが判明しています。
感染経路はTikTokやGoogle Chromeを装った悪意あるサイトで、Google Play Protectに偽装したドロッパーを用いてAndroidのセキュリティ機構をすり抜け、第2段階のペイロードをデバイスに送り込みます。
「Rokarollaトロイの木馬は、データ窃取から被害者の孤立化へという転換点を示しています」と語るのは、証明書管理企業SectigoのシニアフェローであるJason Soroko氏です。同氏はRokarollaがスマートフォンをその所有者に向けた凶器に変えると説明しています。
関連記事:AndroidマルウェアがDiscordチャンネルを通じて銀行ユーザーを標的に
この支配力を維持するため、Rokarollaは自身をデバイスの通話・テキストのデフォルトハンドラーに設定します。着信のブロックやSMSの読み取り・送信が可能で、銀行が不審な送金を検知する際に使うワンタイムコードや不正アラートを握りつぶすことができます。
さらに、アラート音を隠すために音声と振動をミュートにし、アプリ一覧から自身のアイコンを非表示にするほか、画面を常時点灯させることで、秘密裏に行われる活動が途切れないようにします。
偽の画面と盗まれたログイン情報
情報窃取の手口は、支援アプリ向けのAndroid機能であるアクセシビリティサービスに依存しており、Rokarollaはこれを悪用して画面を読み取り、インターフェースを操作します。この機能を通じて収集される情報は以下のとおりです。
-
偽のオーバーレイ画面で取得した銀行・暗号資産のログイン情報
-
ロック画面のPIN、パターン、パスワード
-
キーストロークと画面上のテキスト
-
銀行のワンタイムコードを含むSMSメッセージ
-
画面から収集したWhatsAppの連絡先
被害者が標的となるアプリを開くと、マルウェアはサーバーから取得した精巧な偽のログイン画面を本物の画面の上に重ねて表示します。
また、リアルタイムでクリップボードの内容を書き換え、被害者が自身の暗号資産ウォレットアドレスをコピーした際に攻撃者のアドレスへ差し替えることも可能です。
監視機能については、画面をリアルタイムでストリーミングする代わりに、タイムスタンプ付きのスクリーンショットを静かに撮影し、一枚ずつ外部へ送信します。また、自身の存在を隠し続けるためにGoogle Play Protectを無効化しようとします。
このキャンペーンは、モバイル脅威の大幅な増加と時期を同じくしています。APIセキュリティ企業Cequence SecurityのCISO、Randolph Barr氏は「Androidはバンキング型トロイの木馬やデータ漏洩を引き起こすSDKの脅威に引き続きさらされています」と指摘し、2024年だけで数千万件にのぼるモバイルマルウェアインシデントがブロックされたと述べています。
翻訳元: https://www.infosecurity-magazine.com/news/rokarolla-android-banking-trojan/
