出典: Allstar Picture Library Limited via Alamy Stock Photo
GodFather Androidバンキングトロイの木馬は大きく進化し、トルコの金融機関をターゲットにした高度なデバイス内仮想化技術を用いることで、これまで以上に巧妙に正規のモバイルバンキングや暗号通貨アプリケーションを乗っ取ることができるようになりました。
この手法は、Zimperium zLabsの研究者が発見したもので、仮想化フレームワークを含む悪意ある「ホスト」アプリケーションをインストールすることで、被害者のモバイルデバイス上に完全で隔離された仮想環境を作り出します。このホストは、実際のターゲットとなるバンキングや暗号通貨アプリのコピーをダウンロードして実行し、攻撃者に「以前見られたマルウェアに対していくつかの重要な利点」を与えると、今日発表されたレポートで述べられています。
この手法は、攻撃者がユーザーを騙してアプリケーションに見えるものにデータを入力させる典型的なオーバーレイ戦術を超えたモバイル脅威能力の大きな飛躍です。
“正規のアプリを制御された環境内で実行することで、攻撃者はアプリケーションのプロセスを完全に可視化し、リアルタイムで認証情報や機密データを傍受することができます”と、Zimperium zLabsの脅威研究者Fernando OrtegaとVishnu Pratapagiriはレポートに書いています。”マルウェアはリモートで制御でき、フックフレームワークを使用して仮想化されたアプリの動作を変更し、ルート検出などのセキュリティチェックを効果的に回避します。”
関連:Serpentine#CloudがCloudflareトンネルを使った隠密攻撃を実施
エンドユーザーにとって、この悪意あるプロセスは正規のものに見え、彼らは慣れ親しんだアプリの仮想化インスタンスにシームレスにリダイレクトされます。しかし、すべてのアクション、タップ、データ入力は実行時にマルウェアによって監視および制御されると研究者は書いています。
この新しいコア技術に加えて、GodfatherはZIP操作を使用し、コードをJavaレイヤーに移動させることで静的解析ツールを回避するなど、回避策も進化しています。新しい戦術の組み合わせは「完璧な欺瞞を達成し、視覚的な検査ではほぼ検出不可能であり、ユーザーの警戒心を無効化する」とzLabsの研究者は指摘しています。
モバイルサイバー脅威のグローバルな影響に注意
2022年から活動しているGodFatherは、グローバルな支払い、eコマース、サービス、グローバルなソーシャルメディアとコミュニケーション、金融およびバンキングアプリケーション、暗号通貨取引所とウォレットなど、数百万人が使用する数百のアプリケーションをグローバルにターゲットにしています。しばしば正規のGoogle Playアプリケーションを装い、4月には57カ国以上で1,000以上のサンプルを通じて流通しているのが最後に確認され、モバイルサイバー犯罪における最も広範なマルウェア・アズ・ア・サービスの一つとなっています。
関連:脅威アクターがTeamFiltrationを悪用してEntra IDアカウントを乗っ取る
しかし、攻撃者は現在、新しいGodFatherの仮想化戦術を限られたターゲットグループに対して使用しており、攻撃は現在、トルコの12の金融機関に集中しています:Akbank Mobile、Fibabanka、Garanti BBVA Mobile、Halkbank Mobil、ING Mobil、Birbank、Kuveyt Türk Mobile、İşCep: Banking & Finance、Şeker Mobil、Türkiye Finans Mobile、Yapı Kredi Mobile、Ziraat Mobile。同時に、研究者はアプリが世界中の約500のアプリをスキャンしていることを観察しており、将来的により広範な使用が示唆されています。
“このマルウェアは、ユーザー名やパスワードからデバイスのPINまで、幅広いログイン資格情報を盗む能力を攻撃者に与え、最終的には完全なアカウント乗っ取りに至ります”と研究者は説明しています。”最終的に、この仮想化技術はユーザーとそのモバイルアプリケーション間の基本的な信頼を侵食し、デバイス自体を信頼できない環境に変え、正規のアプリでさえスパイ活動や盗難のツールに変えることができます。”
実際、その現在の範囲は限られていますが、新たに仮想化されたGodFatherは、その大きな影響力のために特に脅威的です。”サイバーセキュリティにおけるパラダイムの変化を示し、完全なアカウント乗っ取りが迅速かつ残酷であることを示しています”と、セキュリティ企業QualysのプリンシパルプロダクトマネージャーであるApril Lenhardはメールで述べています。
関連:Agentic AIがGartnerのSRMサミットを掌握
“我々は、複雑なハイブリッドインフラへの依存が増加していることから、この種の攻撃の使用が今後増加すると予想しています”と彼女は付け加えました。
高度化が求める警戒の強化
Zimperium zLabsは、GodFatherに関する包括的なMITRE ATT&CK技術と侵害の指標のリストをまとめ、レポートに含めて、顧客や影響を受けた業界の他の人々がモバイルマルウェアの拡散に対抗するのを支援しています。
新しい技術は現在、ターゲット範囲が限られていますが、セキュリティ専門家は、その高度化がモバイルアプリケーションの新しい標準となり、GodFatherのターゲット業界を高警戒に置くと予測しています。
実際、この技術は、”標準的なモバイルオーバーレイを超え、ユーザーデバイスレベルでの金融および暗号通貨取引の完全性を直接的に損なう”と、Salt Securityのサイバーセキュリティ戦略ディレクターであるEric Schwakeはメールで述べています。
これは、防御者がセキュリティ戦略を強化し、”APIを可能にする資格情報を盗み、ユーザーのデバイスの起点からAPI駆動のインタラクションを操作することを目的としたクライアントサイドの侵害に対処する”必要性を強調しています。
翻訳元: https://www.darkreading.com/cloud-security/godfather-banking-trojan-debuts-virtualization-tactic