Zscalerによると、脅威アクターは高度なTeaBot Androidマルウェアを用いて携帯電話に感染させるケースを増やしている。
5月27日に公開された新たなレポートで、Zscaler ThreatLabzの研究者は、Anatsaとしても知られるAndroidバンキングトロイのTeaBotを悪用した悪意ある活動の増加を確認した。
TeaBotはPDFおよびQRコードリーダーアプリになりすます
TeaBotは、650以上の金融機関のアプリケーションを標的としてきた長年存在するAndroidバンキングトロイである。脅威アクターは主に欧州の被害者を狙うが、米国、韓国、シンガポールも標的となっている。
最も広く使用されているAndroidトロイの一つではないものの、TeaBotは野外で確認されている中でも最も高度なものの一つだ。
TeaBotは、ユーザーには無害に見えるドロッパーアプリを用い、気付かないうちに悪意あるペイロードをインストールさせる。これはAndroidバンキングトロイで一般的な手口だ。
Zscalerは最近、TeaBotの展開に使用された2つの偽Androidアプリを確認した。『PDF Reader & File Manager』というPDFリーダーアプリと、『QR Reader & File Manager』というQRコードリーダーアプリである。Google Playストアでは、前者のフロントエンド開発者名は「TSARKA Watchfaces」、後者は「risovanui」と表示されている。
「分析時点で、両アプリはいずれもすでに7万件を超えるインストール数を集めていた」と、Zscalerの研究者は記した。
高度なマルウェア
TeaBotは、コマンド&コントロール(C2)サーバーから取得したリモートペイロードを利用し、さらなる悪意ある活動を実行する。
インストールされると、この悪意あるアプリは世界中の金融アプリケーションから機微な銀行認証情報や金融情報を流出させる。
これは、オーバーレイおよびアクセシビリティの手法を用いることで実現され、目立たない形でデータを傍受・収集できる。
そのために、TeaBotは次の手順を実行する:
- マルウェアはリフレクションを利用して、ロードされたDalvik Executable(DEX)ファイルからコードを呼び出す。このDEXには最終的にAndroid Runtimeによって実行されるコードが含まれる
- マルウェアは、解析環境やマルウェアサンドボックスを検出することを目的として、デバイス環境およびデバイスタイプに対する一連のチェックを実行する
- 検証に成功すると、マルウェアは非圧縮の生マニフェストデータをAPKに注入し、解析を妨げるためにマニフェストファイル内の圧縮パラメータを破損させる
- APKがロードされた後、マルウェアはSMSやアクセシビリティオプションを含む各種権限を要求し、コード内に埋め込まれた静的キーを用いてDEXファイルを復号する
- マルウェアはC2サーバーとの通信を確立し、感染デバイスの登録や、コード注入の対象アプリケーション一覧の取得など、さまざまな活動を実行する
- 金融アプリケーションのパッケージ名リストを受け取ると、マルウェアは被害者のデバイスをスキャンし、これらの標的アプリがインストールされているかどうかを確認する
- マルウェアが標的アプリの存在を特定すると、その情報をC2サーバーに送信する。これに応じてC2サーバーは、当該バンキングアプリ用の偽ログインページを提供する
被害者側では、これらの動作の一部が正規のアプリ更新として偽装され、被害者はアプリが本物だと信じ込まされる一方、残りの動作は被害者の知らないところでバックグラウンドで進行する。
「(TeaBotを使用する)脅威アクターは、仮想環境やエミュレーターのチェック、さらにマルウェアの静的解析を妨げるためにAPKのZIPヘッダーを意図的に破損させるなど、検知回避のためのさまざまな手法も用いている」と、Zscalerの研究者は結論付けた。
翻訳元: https://www.infosecurity-magazine.com/news/teabot-banking-trojan-activity/
