「DoubleTrouble」と名付けられた高度なAndroidバンキングトロイの木馬が、最近その配布方法と技術的能力の両方を拡大し、ヨーロッパ全域のユーザーに重大な脅威をもたらしています。
当初は大手銀行を装ったフィッシングサイトを通じて拡散されていましたが、現在ではDiscord上にホストされたAPKを介してペイロードを配布しており、検出や防御がより困難になっています。
Zimperiumの研究者は、現在のキャンペーンから9つ、以前のバージョンから25のサンプルを分析しました。
水曜日に公開されたアドバイザリで、トロイの木馬の最新バージョンには、機密データの窃取、デバイス動作の操作、従来のモバイル防御の回避を目的とした複数の新機能が追加されていると報告しました。
高度な機能でリアルタイム監視を実現
インストールされると、DoubleTroubleはGoogle Playのアイコンを使って正規アプリに偽装し、ユーザーにAndroidのアクセシビリティサービスの有効化を促します。このアクセス権により、マルウェアはバックグラウンドで密かに動作できます。
セッションベースのインストール方式により、ペイロードはアプリのresources/rawディレクトリに隠され、初期検出を回避します。
マルウェアの最新バージョンには、以下のような高度な機能が含まれています:
-
MediaProjectionおよびVirtualDisplay APIを利用したリアルタイム画面録画
-
PIN、パスワード、ロック解除パターンを盗むための偽のロック画面オーバーレイ
-
アクセシビリティイベント監視によるキーロギング
-
特定アプリ(特に銀行やセキュリティツール)のブロック
-
正規アプリのログイン画面を模倣したフィッシング用オーバーレイ
取得されたデータはエンコードされ、リモートのコマンド&コントロール(C2)サーバーに送信されます。標的となるデータには、バンキングアプリ、パスワードマネージャー、暗号通貨ウォレットの認証情報が含まれます。
デバイス画面をリアルタイムでミラーリングすることで、攻撃者は多要素認証を回避し、ユーザーが見ているのと同じ機密情報にアクセスできます。
金融アプリを標的としたAndroidマルウェアについてさらに読む:ToxicPandaマルウェアがAndroidデバイスのバンキングアプリを標的に
豊富なコマンドセットで攻撃者に深い制御権限
このトロイの木馬はC2サーバーから送信される数十種類のコマンドに応答し、リモートのオペレーターがタップやスワイプのシミュレーション、偽のUI要素の表示、ブラック画面やアップデート画面の表示、システムレベルの設定操作などを可能にします。
send_password、start_graphical、block_appなどのコマンドにより、攻撃者はユーザーの操作を妨害しながら情報を収集できます。
Zimperiumは、DoubleTroubleが難読化、動的オーバーレイ、リアルタイムのビジュアルキャプチャを利用していることから、より適応的かつ持続的なモバイル脅威への傾向が見られると警告しています。その継続的な進化と新しい配布方法は、個人ユーザーと金融機関の両方にとって深刻な懸念材料となっています。
画像クレジット:Marcelo Mollaretti / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/android-malware-targets-banks-via/