Androidマルウェアがアラートをミュートし、暗号資産ウォレットを枯渇させる

出典: Andri Wahyudi via Shutterstock

セキュリティ研究者は、インドネシアおよび他の東南アジア諸国全体のAndroidユーザーを標的とする、「高度な能力」を備えた新たなモバイルバンキング型トロイの木馬を発見した。

多くのAndroidバンキング型トロイの木馬と同様に、この新しいマルウェアはAndroidのアクセシビリティ機能を悪用し、攻撃者が感染したデバイスを完全にリモート操作したり、SMSメッセージを傍受したり、パスワードや暗号資産の鍵、その他の個人情報などの機密データを盗み出したりできるようにする。脅威インテリジェンスベンダーのCyfirmaによると、このマルウェアは検知回避のための難読化技術を使用し、実機かエミュレーターかをチェックし、ユーザーから自身の活動を隠し、再起動後も動作し続けるための永続化メカニズムを用いているという。

武器化されたデジタルID

Cyfirmaの研究者は、このトロイの木馬を「Android/BankBot-YNRK」として追跡している。これは、インドネシアの国家IDカードのデジタル版である「Identitas Kependudukan Digital」の正規アプリに見せかけたバージョンの中に、3つのサンプルが隠されているのを発見したためだ。同社の分析によると、このマルウェアは主にAndroid 13以前を実行しているデバイスを標的としており、そこで幅広い悪意ある活動を実行するために必要なアクセシビリティ権限を取得できるという。 

「Android 13までは、アプリはアクセシビリティ機能を通じて権限リクエストを回避することができました」とCyfirmaは 最近のブログ投稿で説明している。「しかし、Android 14ではこの挙動はもはや不可能であり、ユーザーはシステムインターフェースを通じて直接権限を付与しなければなりません。」 

関連記事:OllamaおよびNvidiaの脆弱性がAIインフラを危険にさらす

Cyfirmaのレポートでは、Android/BankBot-YNRKの運用者がどのようにして被害者デバイスにマルウェアを配布しているのかは特定されていない。しかし、正規の政府アプリを装い、ユーザーにAndroid Package Kit（APK）を手動インストールさせる必要があることから、このマルウェアは主に、公式のモバイルアプリストア以外からアプリをサイドロードするユーザーを脅かしていると考えられる。セキュリティ研究者は、こうした行為はモバイルデバイスユーザーにリスクをもたらすため、特に企業環境において長年にわたり警告してきた。

悪意ある活動を開始する前に、Android/BankBot-YNRKは実際に物理デバイス上で動作しているかどうかを確認する。その後、デバイスのメーカーとモデルを特定し、Google PixelやSamsungを含む標的モデルに対して、デバイス固有かつ最適化された機能を展開し、その他のモデルは無視する。 

Cyfirmaは、このマルウェアに、着信通話、システム通知、メッセージに関連するものを含め、デバイス上のすべての音声アラートを事実上無効化する機能が含まれていることを突き止めた。「このような挙動は、ユーザーに気付かれないようにするためによく用いられ、マルウェアがペイロードやその他の悪意ある処理を注意を引くことなく実行できるようにするものです」とCyfirmaは述べている。

関連記事:40万のWordPressサイトに影響する致命的なサイト乗っ取り脆弱性

被害者がAndroid/BankBot-YNRKにアクセシビリティ権限を付与すると、このトロイの木馬はUI操作の自動化、機密データの抽出、ユーザーの直接関与なしでの不正操作の実行に必要な特権を自ら取得する。マルウェアは、インドネシア語で表示される全画面のオーバーレイを起動し、「個人情報の確認」プロンプトを装うことで、ユーザーをだましてこれらの権限を付与させる。このプロンプトは、バックグラウンドで必要なすべての権限をサイレントに有効化している間、被害者に待機するよう指示すると、ベンダーは説明している。

リアルタイムスナップショット

このマルウェアの特に厄介な点の1つは、被害者デバイスのリアルタイムスクリーンショットを取得し、パスワード入力欄やその他のボタンの位置など、バンキングアプリの正確なレイアウトを把握できることだ。その後、このインターフェースの「骨格」を利用して入力を自動化し、認証情報を盗み、不正取引を実行し、侵害されたデバイス上で永続性を維持する。

「このマルウェアは暗号資産ウォレットのコントローラーとして機能し、プログラム的にウォレットアプリを開き、アクセシビリティサービスを通じてそのインターフェースとやり取りします」とCyfirmaは述べている。「UI操作を自動化し、画面上のコンテンツを取得することで、ユーザーの同意なしに、ウォレットに表示される機密情報（例: シードフレーズ、秘密鍵、取引確認など）を抽出することができます。」 

関連記事:Kimsukyが韓国ユーザーを標的にHTTPTroyバックドアを初投入

このマルウェアは、Bitcoin、Ethereum、Litecoin、Solanaを含む複数の暗号資産および関連ウォレットを標的としている。Android/BankBot-YNRKは、暗号資産ウォレットを狙うAndroidトロイの木馬の増加傾向の一角を占めている。

Cyfirmaが確認したAndroid/BankBot-YNRKの難読化戦術の1つは、アプリ名とアイコンを変更してGoogleニュースを装うことだった。同社は、マルウェアが実際にはWebView内で本物のgoogle.comを読み込みつつ、バックグラウンドで密かに悪意ある活動を実行していることを突き止めた。長期的な永続性を確保するため、このマルウェアが用いるトリックの1つは、AndroidのJobScheduler機能を通じて、再起動後も生き残る定期タスクをスケジュールすることだ。 

Android/BankerBot-YNRKは、急速に拡大するAndroidマルウェアおよび脅威の状況における最新の進化形を示している。 Intel471による今年初めの分析では、キーロギング、隠し仮想ネットワークコンピューティング（HVNC）、リモート制御機能、NFCリレー悪用といった高度な機能を取り込んだAndroidマルウェアが、2024年に急増していることが強調された。 

Intel471の研究者は、攻撃者がTiramisuDropperやBrokewell Androidローダーといった名称の特化型ドロッパーを用いて、Android 13のアクセシビリティ制限を回避し、被害者デバイスにマルウェアをサイドロードする事例が増えていることを観測した。Intel471はまた、漏えいしたソースコードが広く入手可能になったことで、非技術系サイバー犯罪者にとっての参入障壁が下がり、悪意あるAndroidアプリケーションの開発とマネタイズが加速していることも指摘している。

著者について