Androidのバンキングトロイの木馬Zanubisは新たな姿を取り、ペルーの政府機関SUNAT(Superintendencia Nacional de Aduanas y de Administración Tributaria)の公式アプリを装っています。
2022年8月に最初に検出されたこのマルウェアは、正規のAndroidアプリになりすますことで、ペルーの金融および暗号資産ユーザーを標的にします。Zanubisはユーザーをだましてアクセシビリティ権限を付与させ、事実上デバイスの制御を明け渡させます。
Zanubisを際立たせているのは、その高度化の進行であり、カスペルスキーが本日公開した新たなアドバイザリで説明されています。このトロイの木馬はAndroidのAPKファイル向け難読化ツールObfuscapkを利用しており、検出を困難にしています。
被害者のデバイスへのアクセスを得ると、WebViewを用いて本物のSUNATウェブサイトを読み込み、正当性があるかのような錯覚を作り出して欺きます。このトロイの木馬はWebSocketsとSocket.IOというライブラリを通じて制御サーバーとの通信を維持し、不利な状況下でも接続性を確保します。
特に懸念されるのは、Zanubisの適応力です。標的アプリが固定された典型的なマルウェアとは異なり、Zanubisは特定のアプリが使用されている際にデータを盗むよう、遠隔からプログラムできます。さらに第2の接続を確立し、悪意ある攻撃者に侵害されたデバイスの完全な制御を与える可能性があります。脅威をさらに深刻化させる要素として、Androidのアップデートを装ってデバイスを無効化することもできます。
同じアドバイザリで、カスペルスキーの研究者は、暗号資産ウォレットを標的にし、アンダーグラウンドのフォーラムを通じて配布されるAsymCryptというクリプター/ローダーの発見について言及しました。この進化したDoubleFingerローダーの亜種は、TORネットワークへのゲートウェイとして機能します。購入者は機能をカスタマイズし、暗号化された画像ブロブ内に隠された悪意あるDLLを注入します。
セキュリティ研究者が最近発見した、進化を続ける別のマルウェア系統がLummaスティーラーです。以前はArkeiとして知られていたLummaは、元の属性の46%を保持しています。システムに感染させるために、この悪意あるソフトウェアは.docxから.pdfへのファイルコンバーターを装い、ファイルが.pdf.exeという二重拡張子で戻ってきたときにペイロードを実行します。
Lummaは主に暗号資産ウォレットを標的にし、キャッシュされたファイル、設定ファイル およびログを窃取します。その進化には、システムのプロセス一覧の取得、通信URLの変更 、高度な暗号化技術が含まれます。
暗号資産スティーラーについてさらに読む:Satacomマルウェアキャンペーン、ステルス性の高いブラウザ拡張機能を介して暗号資産を窃取
カスペルスキーのGReAT(Global Research and Analysis Team)の主任セキュリティ研究者であるタチヤナ・シシュコワ氏は、これらの脅威の動的な性質と、情報を常に把握しておく重要性を強調しました。
「多面的なLummaスティーラーや、本格的なバンキングトロイの木馬としてのZanubisの野心に象徴されるように、絶えず進化するマルウェアの状況は、これらの脅威の動的な性質を浮き彫りにしています」 と彼女は述べました。
「インテリジェンスレポートは、最新の悪意あるツールや攻撃者の手法を把握し続けるうえで重要な役割を果たし、デジタルセキュリティをめぐる継続的な戦いにおいて一歩先を行く力を与えてくれます。」
カスペルスキーは、金銭目的の脅威を軽減するために、オフラインバックアップ、ランサムウェア対策ツール、専用のセキュリティソリューションなど、さまざまな予防策を推奨しました。
翻訳元: https://www.infosecurity-magazine.com/news/android-banking-trojan-zanubis/
