TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

新たな多段階の悪意あるキャンペーンで展開されるCerberus Androidバンキングトロイの木馬

サイバーセキュリティ企業Cybleによると、新たな高度な悪意あるキャンペーンが、未検知のCerberus Androidバンキングトロイの木馬のペイロードを使用しています。

10月14日に公開された新しいレポートで、Cyble Research and Intelligence Labs(CRIL)は、9月中旬から10月末にかけて、ChromeやPlayストアのアプリを装った15件の悪性サンプルを特定しました。

これらのサンプルは、多段階ドロッパーを用いてバンキングトロイの木馬のペイロードを展開しており、そのペイロードがCerberusバンキングトロイの木馬を悪用していることが判明しました。

このキャンペーン「ErrorFather」は継続中で、2024年9月と10月に活動が活発化したように見え、脅威アクターが規模を拡大し、特定の被害者を狙っていることを示唆しています。

Cerberusバンキングトロイの木馬と亜種

Cerberusは、2019年にアンダーグラウンドのマーケットプレイスに登場したAndroidバンキングトロイの木馬です。

正規アプリのように見えるよう設計されていますが、実際には、バンキングアプリのログイン認証情報、クレジットカード情報、その他の個人情報を盗み取ることができる悪意あるプログラムです。

Cybleの研究者は、アクセシビリティサービスを悪用して金融アプリやソーシャルメディアアプリを標的にできる能力、オーバーレイ攻撃の使用、さらに仮想ネットワークコンピューティング(VNC)やキーロギング機能の組み込みにより、同トロイの木馬が最もよく知られたバンキングトロイの木馬の一つになったと指摘しました。

2020年には、Cerberusのソースコード流出を受けて、Cerberusのコードベースを利用する「Alien」と呼ばれる新たな亜種が登場しました。

2021年には、Cerberusのコードを基にした別のバンキングトロイの木馬「ERMAC」も観測され、450以上の金融アプリおよびソーシャルメディアアプリを標的にしていました。

2024年初頭には、「Phoenix Androidバンキングトロイの木馬」として知られる新たな脅威が発見されました。

Cybleの研究者は、「新しいボットネットを名乗っていたPhoenixは、アンダーグラウンドのフォーラムで販売されているのが確認された。しかし、AlienとERMACがいくつかの改変を加えていたのに対し、PhoenixはCerberusの別のフォークにすぎず、まったく同一のソースコードを利用していることが特定された」と付け加えました。

ErrorFatherキャンペーンの解読

Cybleの研究者によると、ErrorFatherキャンペーンは、Cerberusが再利用されている別の例です。

彼らは、「ErrorFatherの背後にいる脅威アクターはマルウェアをわずかに改変しているものの、主として元のCerberusコードに基づいているため、完全に新しいマルウェアとして分類するのは不適切だ」と付け加えました。

ErrorFatherは、複数段階(セッションベースのドロッパー、ネイティブライブラリ、暗号化されたペイロード)からなる高度な感染チェーンを用いており、検知と削除の取り組みを複雑化させています。

特筆すべき点として、このキャンペーンは「ErrorFather」という名前のTelegramボットを利用してマルウェアと通信します。

最終ペイロードは、キーロギング、オーバーレイ攻撃、VNC、そしてドメイン生成アルゴリズム(DGA)を用いて悪意ある活動を実行します。

2022年のAlienキャンペーンでも使用されたDGAは、動的なコマンド&コントロール(C2)サーバー更新を可能にすることで耐性を確保し、主要サーバーが停止させられてもマルウェアが稼働し続けるようにします。

研究者は、「古いマルウェア系統であるにもかかわらず、このキャンペーンで使用されている改変版Cerberusはアンチウイルスエンジンによる検知を回避することに成功しており、過去の流出から作り直されたマルウェアがもたらす継続的なリスクを改めて浮き彫りにしている」と述べました。

ErrorFatherの展開に使用されるC2サーバーは依然として稼働しており、キャンペーンが継続中であることを示唆しています。

Cybleの緩和策に関する推奨事項

ErrorFatherキャンペーンを緩和するためのCybleの推奨事項は以下のとおりです:

  • Google PlayストアやiOS App Storeなどの公式アプリストアからのみソフトウェアをダウンロードしてインストールする
  • PC、ノートPC、モバイル端末など、接続されたデバイスに、信頼できるアンチウイルスおよびインターネットセキュリティソフトウェアパッケージを使用する
  • 強力なパスワードを使用し、可能な限り多要素認証(MFA)を強制する
  • 可能な場合は、モバイル端末のロック解除に指紋認証や顔認証などの生体認証セキュリティ機能を有効にする
  • Android端末でGoogle Play Protectが有効になっていることを確認する

翻訳元: https://www.infosecurity-magazine.com/news/cerberus-android-banking-trojan/

ソース: infosecurity-magazine.com
#Androidバンキングトロイの木馬 #C2(コマンド&コントロール) #Cerberus #DGA(ドメイン生成アルゴリズム) #ErrorFather #VNC #オーバーレイ攻撃 #キーロギング #マルウェアキャンペーン #多段階ドロッパー

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新