増加する悪意のあるキャンペーンが、最近発見されたAndroidバンキングトロイの木馬Crocodilusを利用して、ヨーロッパと南アメリカのユーザーを標的にしています。
ThreatFabricによって公開された新しいレポートによると、このマルウェアは分析と検出を妨げるために改良された難読化技術を採用しており、被害者の連絡先リストに新しい連絡先を作成する能力を含んでいます。
“最近の活動は、トルコのキャンペーンを続けながらヨーロッパ諸国を標的とし、南アメリカにまでグローバルに拡大している複数のキャンペーンを明らかにしています”とオランダのセキュリティ会社は述べています。
Crocodilusは、2025年3月にスペインとトルコのAndroidデバイスユーザーをGoogle Chromeのような正当なアプリに偽装して標的にしていると初めて公に文書化されました。このマルウェアは、外部サーバーから取得した金融アプリのリストに対してオーバーレイ攻撃を開始し、資格情報を収集する機能を備えています。
また、暗号通貨ウォレットに関連するシードフレーズをキャプチャするためにアクセシビリティサービスの権限を悪用し、それを使用してウォレットに保存された仮想資産を奪うことができます。
ThreatFabricの最新の調査結果は、マルウェアの地理的範囲の拡大と、機能強化や新機能の開発が進行中であることを示しており、運営者によって積極的に維持されていることを示しています。
ポーランドを狙った特定のキャンペーンでは、銀行やeコマースプラットフォームを模倣してFacebook上の偽の広告を配布ベクターとして利用していることが判明しました。これらの広告は、ボーナスポイントを主張するためにアプリをダウンロードするように被害者を誘導します。アプリをダウンロードしようとするユーザーは、Crocodilusドロッパーを配信する悪意のあるサイトに誘導されます。
スペインとトルコのユーザーを狙った他の攻撃波は、ウェブブラウザの更新やオンラインカジノに偽装しています。アルゼンチン、ブラジル、インド、インドネシア、アメリカ合衆国は、マルウェアによって標的にされた他の国々です。
逆エンジニアリングの努力を複雑にするためにさまざまな難読化技術を組み込むことに加えて、Crocodilusの新しいバリアントは、”TRU9MMRHBCRO”というコマンドを受け取ると、被害者の連絡先リストに指定された連絡先を追加する能力を持っています。
この機能は、GoogleがAndroidに導入した新しいセキュリティ保護対策への対抗策として設計されていると疑われています。これは、知らない連絡先との画面共有セッション中にバンキングアプリを起動するときに、ユーザーに詐欺の可能性を警告します。
“我々は、この意図は’銀行サポート’のような説得力のある名前で電話番号を追加し、攻撃者が被害者に対して正当なように見えるように電話をかけることを可能にすることだと考えています。これにより、知らない番号をフラグする詐欺防止措置を回避することもできます”とThreatFabricは述べています。
もう一つの新機能は、特定の暗号通貨ウォレットのシードフレーズと秘密鍵を抽出するためのパーサーを使用する自動化されたシードフレーズコレクターです。
“Crocodilus Androidバンキングトロイの木馬を含む最新のキャンペーンは、マルウェアの技術的洗練と運用範囲の両方における懸念すべき進化を示しています”と同社は述べています。”特に、そのキャンペーンはもはや地域に限定されておらず、マルウェアは新しい地理的地域にその範囲を拡大しており、真にグローバルな脅威への移行を強調しています”。
翻訳元: https://thehackernews.com/2025/06/android-trojan-crocodilus-now-active-in.html