Hook Androidトロイの木馬がランサムウェア型攻撃を実行するように

出典: Rafa Press via Shutterstock

更新情報

攻撃者は、ランサムウェアのようにデバイスをロックする危険な新種のHook Androidバンキングトロイの木馬を拡散しており、新たな配布チャネルとしてGitHubを利用しています。

Hook Androidバンキングトロイの木馬は、これまでで「最も高度な機能のいくつか」を備えるようになっており、最新の攻撃はこのマルウェアの進化が続いていることを示しています、とZimperiumがブログ記事で述べています。

投稿によると、この亜種は、ユーザーのデバイスをロックし、デスクトップ向けランサムウェアに似た恐喝手法を表示するランサムウェア風のオーバーレイに加え、被害者を騙して機密データを共有させる偽の近距離無線通信（NFC）オーバーレイも搭載しています。

その他の新機能としては、偽のPINやパターン入力画面を使ってロック画面を回避する機能、ユーザーのジェスチャーを密かに記録してデータを盗み活動を監視する透明な悪意あるオーバーレイ、リアルタイム監視を可能にする画面ストリーミングセッションなどがあります。

拡大する拡散範囲

また、このトロイの木馬は2023年初頭に初めて確認されましたが、主な配布方法であるフィッシングサイト以外にも新たな大規模配布が行われている証拠があります。ZimperiumのVishnu Pratapagiri氏は、攻撃者が現在、GitHubプラットフォームを利用して悪意あるAndroidパッケージ（APK）ファイルを通じてHookを拡散する、より広範なマルウェアキャンペーンを展開していると投稿で述べています。

「私たちは複数のGitHubリポジトリを積極的に監視しており、HookやErmacのような新旧のマルウェアがホストされているのを確認しています」と彼は書いています。Ermacは、Cerberusマルウェアから進化した別のAndroidマルウェアです。

「この配布方法はこれらのファミリーだけに限定されているわけではなく、Brokewellや様々なSMSスパイウェア型トロイの木馬など他のマルウェアも同じチャネルで拡散されています」とPratapagiri氏は述べています。実際、攻撃者はGitHubや他のリソース上のリポジトリを悪用し、マルウェアを拡散するケースが増えています。

新しいHook亜種はGitHub上で拡散していますが、Googleの広報担当者によると、Google Playストアではこのマルウェアを含むアプリは発見されていません。

「Androidユーザーは、Google Playサービスが有効なAndroidデバイスでデフォルトでオンになっているGoogle Play Protectによって、このマルウェアの既知のバージョンから自動的に保護されています」と広報担当者は述べました。「Google Play Protectは、Play以外のソースから入手したアプリであっても、悪意ある挙動が確認されたアプリを警告またはブロックできます。」

従来バージョンと同様に、新しいHook亜種もAndroidのアクセシビリティサービスを悪用して詐欺の自動化やデバイスの遠隔操作を行います。しかし新たに強化された点として、現在は107種類のリモートコマンド（うち38種類は最新亜種で追加）に対応しており、攻撃者に「データ窃取、セッション乗っ取り、防御回避のさらなる柔軟性」を与えているとPratapagiri氏は述べています。

ランサムウェア、認証情報窃取、その他の脅威

最も顕著な新機能の一つは、全画面のランサムウェアオーバーレイで、被害者にデバイスへのアクセスを取り戻すために身代金を支払うよう強要します。攻撃者は、コマンド＆コントロール（C2）サーバーからオーバーレイを動的に取得し、「*WARNING*」メッセージとウォレットアドレス、金額を表示し、ユーザーが攻撃者に支払いをしないとデバイスを操作できないようにします。

新しい偽NFCスキャン画面は、全画面WebViewオーバーレイを使用し、ユーザー入力を取得するJavaインターフェースを設定します。現時点では「機密データを攻撃者に送信するためのJavaScriptは注入されていない」とPratapagiri氏は指摘していますが、この機能の追加は攻撃者がマルウェアの進化に引き続き注力していることを示しています。

Hook亜種はまた、被害者のデバイスの正規のロック解除パターンやPIN入力画面を模倣し、ユーザーを騙して認証情報を入力させることで、ロック画面のセキュリティを回避し攻撃者に不正アクセスを許します。

さらにこの亜種は、サーバーから「takencard」コマンドを受信した際にクレジットカード情報を盗む新たなオーバーレイも備えています。「これは正規のインターフェースを模倣した全画面WebViewオーバーレイを作成し、偽のHTMLフォームを読み込みます」と彼は投稿で説明しています。「このHTMLファイルはGoogle Payを模倣し、カード情報やフォームに入力されたPINなどの機密情報を取得し、そのデータをサーバーに送信します。」

Androidマルウェアの継続的な脅威

モバイルデバイスがデスクトップと同様に企業環境で重要性を増す中、Androidデバイスを標的とするマルウェアも他の脅威と同様に危険です。特にAndroidデバイスへの攻撃は攻撃者の間で人気があり、組織にはより高度な脅威対応が求められています。

実際、「Hookの進化は、バンキングトロイの木馬がスパイウェアやランサムウェア戦術と急速に融合し、脅威のカテゴリーが曖昧になっていることを示しています」とPratapagiri氏は指摘し、企業ユーザーだけでなく金融機関やエンドユーザーにも適切な対応を求めています。

このため、Zimperiumは防御側が潜在的な侵害を特定できるよう、MITRE ATT&CK手法、侵害の指標、Hookが使用するコマンドの包括的なリストを投稿に含めています。

端末上での検知や振る舞い分析ソリューションは、Hookトロイの木馬や類似マルウェアからモバイルユーザーを守るのに役立ちます。Zimperiumによれば、企業は自社のエンドポイントセキュリティ環境の一部として、企業用モバイルデバイスも含めるべきだとしています。

本記事は8月26日午後4時30分、Googleからのコメントを反映して更新されました。