Rokarolla(ロカローラ)と名付けられた新たなAndroidバンキング型トロイの木馬が、137種類におよぶ豊富なコマンドセットを駆使し、銀行および仮想通貨関連アプリケーション217件を標的にしています。
本マルウェアは、Google ChromeまたはTikTokアプリを提供するように見せかけた悪意あるウェブサイトを通じて配布されており、感染したデバイスを完全な管理下に置く能力を持っています。
その機能には、ロック画面の認証情報・連絡先リスト・SMSデータの窃取に加え、キーロガーによるユーザー入力の継続的な記録が含まれています。
インストール過程では、悪意あるアプリがドロッパーとして機能し、Androidに内蔵されたマルウェア対策システムであるGoogle Play Protectを装います。そして、Rokarollaマルウェアを含むChromeまたはTikTokのインストールをユーザーに促します。
モバイルセキュリティ企業Zimperiumの研究者が本日公開したレポートによると、デバイス上で起動されると、Rokarollaはアクセシビリティサービスの許可を要求するほか、通知・SMS・通話へのアクセス権も求めます。
コマンド&コントロール(C2)サーバーとの通信は、端末の基本プロファイル——機種名、インストール済みAndroidバージョン、ロケール、ディスプレイ特性、バッテリー残量、ストレージ容量、使用可能なRAMなどの情報——を送信することから始まります。
Zimperiumによると、この情報はRokarollaキャンペーンにおける被害者ごとの一意の識別子生成に使用されます。
Zimperiumは、このマルウェアの主目的は金融情報の窃取にあると分析しています。そのために、感染したデバイスを217件の標的アプリリストと照合し、一致するアプリがあればそれに対応するフィッシング用ペイロードをダウンロードします。
被害者がリスト上のアプリを開くと、Rokarollaは偽のログインオーバーレイを表示し、ログイン認証情報・クレジットカード情報・その他の金融データを盗み取ります。
オーバーレイの用途はデータ窃取にとどまりません。ロック画面のPINやパターンを取得し、デバイスがロック中であっても操作できるようにするためにも、この手法が使われています。
さらに、必要に応じて偽のインストール画面を表示することで、マルウェアの活動を隠蔽し、ユーザーの操作を妨害するためにもオーバーレイが活用されています。
そのほかの回避戦術として、Google Play Protectの無効化、アプリドロワーからのアイコン非表示、音声・バイブレーションのサイレント化、画面の無期限点灯維持なども確認されています。
ZimperiumはRokarollaで使用可能な全137コマンドをまとめたGitHubリポジトリを公開しています。データ窃取に関わる主なコマンドには次のものが含まれます。
- SMSメッセージの窃取
- 連絡先情報およびWhatsApp連絡先の抽出
- キーストロークの記録
- UIログによる画面コンテンツの記録
- クリップボード内容のコピーおよび改ざん
- 着信通話および銀行の不正アラートのブロック
- 定期的なスクリーンショットの撮影とタイムスタンプ付きアップロード
これらの機能を組み合わせることで、Rokarollaの運営者は感染したAndroidデバイスをほぼ完全に掌握し、高度な金融詐欺を実行できる状態になります。
ZimperiumはGoogle Play(Androidアプリの公式配布プラットフォーム)上ではこのマルウェアを確認していません。提供元を明確に信頼できる場合を除き、Google Play以外からのAPKファイルのダウンロードは避けるよう、ユーザーに推奨しています。
また、アクセシビリティ権限の付与には十分な注意が必要です。この権限は、Androidの標準的なセキュリティ保護を回避し、ユーザーインターフェースの操作やシステムプロンプトの承認といった高度な機能を取得するために悪用される可能性があります。アクセシビリティ権限はAndroidマルウェアが頻繁に狙う権限のひとつです。
攻撃者より先に、すべての防御層をテストする
セキュリティチームが記録できる成功攻撃はわずか54%、アラートを発するのはそのうちの14%に過ぎません。残りの攻撃は検知されることなく環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMおよびEDRのルールをどのようにテストし、脅威の見逃しを防ぐかを解説しています。
