また新たなAndroidバンキング型トロイの木馬が出現しました。このマルウェアは、銀行詐欺機能と広範なデバイス監視、リモートコントロール、持続性メカニズムを組み合わせることで、同種のマルウェアとしては新たな進化を示しています。
Zimperium zLabsの研究者たちはこのマルウェアを発見し、そのコマンド&コントロール(C2)インフラの名称にちなんで「Rokarolla」と命名しました。本日公開されたレポートによると、hxxps[://]infocontablidades[.]it[.]com/などの悪意のあるウェブサイトを通じて配布されています。このマルウェアはGoogle ChromeやTikTokなどの正規アプリを装い、モバイルユーザーをだまして不正なアプリをダウンロードさせます。
典型的なバンキング型トロイの木馬と同様に、このマルウェアは暗号資産アプリや銀行アプリを侵害して認証情報を窃取します。レポートによれば、標的となるアプリは217種類に上ります。しかしRokarollaはそれだけにとどまりません。Zimperiumの研究者Vishnu PratapagiriとFernando Ortegaは、「137のコマンドからなる高度なコマンド群」を活用して感染デバイスの管理権限を掌握すると報告書に記しています。
「悪意ある機能としては、ロック画面の認証情報の収集、連絡先リストやSMSデータなどの機密情報の窃取、キーロガーによるユーザー入力の継続的な記録などが挙げられます」と両氏は述べています。また研究者らは、このマルウェアがデバイスを実質的にオーナーの手の届かないものにすることも確認しました。着信電話のブロック、偽のスクリーンオーバーレイの展開、デバイス音声の消音、Google Play Protectの無効化を通じて、自身の動作を隠蔽しながらユーザーの介入を妨害します。
認証情報窃取を超えた脅威
バンキング型トロイの木馬は、Androidデバイスの脅威環境においてすでによく知られたマルウェアです。しかし今回のRokarollaは、その悪意ある活動を新たなレベルへと引き上げています。従来のバンキング型トロイの木馬は、金融・銀行アプリを侵害して認証情報を盗んだり、攻撃者の金銭的利益のために悪用したりするにとどまるケースがほとんどでした。過去にもデバイスを乗っ取るマルウェアは存在しましたが、Rokarollaほど徹底した支配を実現したものは稀だと専門家は指摘しています。
証明書ライフサイクル管理(CLM)プロバイダーであるSectigoのシニアフェロー、Jason Sorokoは、Rokarollaが金融口座の認証情報を盗むだけでなく、被害者を効果的に孤立させる点が特徴だと指摘しています。
「Rokarollaトロイの木馬は、認証情報の窃取から被害者の孤立化へと焦点を移しています」とSorokoはDark Readingへのメールで述べています。「スクリーンオーバーレイとアクセスツールを組み合わせること自体は以前にもありましたが、このソフトウェアが情報の真空状態を作り出す点はアナリストを驚かせています。アプリが着信をブロックしてテキストメッセージを傍受することで、銀行がユーザーに詐欺を警告できなくなるのです」
「脅威の進化を示す」このような戦略により、ユーザーはスマートフォンを手にしながらも自分でコントロールできない環境に閉じ込められてしまうとSorokoは説明します。デバイスに入出力する情報は攻撃者が支配するのです。「攻撃者はネットワークセキュリティプロトコルに対してパスワードが無力であることを理解しています」と彼は続けます。「犯罪者たちは取引を実行するためにスマートフォンのハードウェアごと乗っ取る必要があります。この手法は、金融機関が防御を強化するにつれてさらに拡大していくでしょう」
オーバーレイの戦略的活用
Zimperiumの研究者によると、Rokarollaは完全なデバイス乗っ取りを実現するために、Androidの正規ロック画面インターフェースを忠実に模倣した偽のオーバーレイを展開しています。これにより、デバイスがロックされた状態でも悪意ある攻撃者がコマンドを実行できるようになります。
「ユーザーが入力した認証情報はこの偽のUIによってキャプチャされ、その後さらなる悪用のために攻撃者が管理するインフラへと送信されます」と彼らはレポートに記しています。
このオーバーレイは、攻撃チェーンの最終段階の一つです。攻撃はAndroidの正規セキュリティコンポーネントになりすましたドロッパーアプリケーションから始まり、第2段階のペイロードをインストールします。その後、マルウェアはアクセシビリティサービスを悪用し、SMSアクセス、通知、デバイス制御に関する高度な権限を要求します。
持続性と回避戦術
デバイスを実効支配すると、RokarollaはHTTPS経由でC2インフラと通信し、デバイスのテレメトリを送信しながらオペレーターから指示を受け取ります。研究者らによれば、攻撃者は複数のフォールバックドメインのサポートとC2の動的更新を活用しており、テイクダウンに対するマルウェアの耐性を高めています。
Rokarollaはまた、検出を回避しユーザーによる削除を防ぐための高度なステルス・回避・持続性技術を備えています。Zimperiumによると、システム防御を弱めるためにGoogle Play Protectを標的としてセキュリティ保護を積極的に無効化しようとし、完全に目立たないよう動作するための複数の技術を駆使しています。
視覚的な検出を避けるためにデバイスのアプリドロワーからアイコンを非表示にするだけでなく、マルウェアはデバイスの音声と振動をすべてミュートし、不正活動中は完全な無音状態で動作します。「この音声抑制により、セキュリティアラートの通知や金融機関からの着信確認コールといった重要な手がかりが効果的に隠蔽され、ユーザーが取引プロセスに気づいたり、それを中断したりする可能性を大幅に低減します」と研究者らはレポートに記しています。
侵害の検出と回避
多くの組織がBYOD(私物デバイスの職場利用)ポリシーを採用している現状において、モバイルデバイスへの脅威はもはや個々のユーザーにとどまる問題ではありません。業務で使用されたり、ネットワークに接続されたりするモバイルアプリケーションの侵害を通じて、企業ネットワーク上のデータにまで波及する可能性があります。
防御担当者がRokarollaを検出できるよう、Zimperiumは侵害インジケーター(IoC)のリストをGitHubページ(サインイン要)に公開しています。また研究者らは、Rokarollaの攻撃チェーンに関するMITRE戦術・技術の完全なリストをZimperiumのレポートに収録しています。
一般的なルールとして、企業ネットワークに接続しているかどうかにかかわらず、モバイルデバイスを使用するすべての人は、Google Playや信頼できるモバイルアプリストア以外のウェブサイトやオンラインソースからアプリをダウンロードしないようにする必要があります。また、人気アプリの非公式ダウンロードを提供するサイトには十分に注意すべきです。
アプリケーションセキュリティソリューションプロバイダーであるBlack Duckのプリンシパルセキュリティエンジニア、Boris Cipotは、Androidデバイスを副次的あるいは重要度の低いアクセスポイントとしてではなく、本格的な高リスクエンドポイントとして扱うべきだと述べています。「これは、シグネチャベースの検出のみに頼るのではなく、オーバーレイの悪用、アクセシビリティサービスの不正使用、疑わしいコマンド&コントロール通信といった行動の異常を検出できるモバイル脅威防御ソリューションを導入することを意味します」とCipotはDark Readingへのメールで述べています。
また、サイドローディングや信頼できないソースからのアプリのインストールを防ぐ厳格なポリシーを適用することも有効な対策です。これが依然として主要な感染経路であるためだとCipotは言います。さらに、モバイルデバイスのセキュリティを強化するとともに、SMSベースの認証への依存を減らし、フィッシング耐性のある多要素認証方式を採用することも重要だと彼は付け加えています。「このようなマルウェアはOTP(ワンタイムパスワード)の傍受と認証フローの妨害を目的として設計されているためです」
翻訳元: https://www.darkreading.com/endpoint-security/rokarolla-android-trojan
