出典:Allstar Picture Library Ltd(Alamy Stock Photo経由)
新たに発見された回避型のAndroidトロイの木馬が、被害者が眠っている間に密かにお金を盗み出すことができます。
多くの場合、マルウェアは生き残るために進化し、サイバー防御者に新たな課題を突きつける必要があります。しかし、バンキング型トロイの木馬はサイバー犯罪の主食であり、何十年もほとんど変わっていないにもかかわらず、効果的であり続けています。
詐欺検出ベンダーCleafyの最近のブログ投稿で説明されている新たなバンキング型トロイの木馬「Klopatra」は、従来のモデルを完全に刷新したものではありません。しかし、非常に効果的であり、被害者の銀行口座から資金を抜き取る際に障害となるあらゆるセキュリティやアクセスの壁に対して解決策を持ち、被害者がその間に警告されないようにする保護機能も備えています。Klopatraの最初のバージョンは3月に初めて観測され、夏には本格的に活動を開始し、現在ではイタリアとスペインで3,000台以上のデバイスが感染しています。
完璧な誘い文句
ヨーロッパでもアメリカ同様、スポーツのライブ配信を視聴するのは少し悪夢のような状況になっています。リーグはしばしば放映権を複数のプロバイダーに分割しているため、ファンはお気に入りのチームの試合を定期的に見るためだけに、いくつもの月額サービスに加入しなければなりません。さらに、ブラックアウトや技術的な問題、その他の障害もあります。
そのため、かつて何千万人ものファンが世界で最も人気のある海賊版ストリーミングサービス「Mobdro」に頼っていました。エンターテインメント企業は警察と協力して2021年にMobdroを摘発し、利用者は他の違法サービスへと散らばりました。
今年、トルコ語を使うサイバー攻撃者たちは、Mobdroアプリを装ってKlopatraを隠し、あたかもMobdroが消えていなかったかのように見せかけています。Mobdroには需要とブランド認知があるため、巧妙な偽装です。さらに、その違法性が攻撃者にとって、Google Playストア以外からダウンロードするようユーザーに求める絶好の口実となっています。
Loading...
一般的に、違法ストリーミングサービスの利用者は、デバイスの本来の用途を超えて使うことにも抵抗が少ない傾向があります。これもKlopatraに有利に働きます。なぜなら、プログラムがAndroidデバイスにインストールされると、アクセシビリティサービスの利用許可を要求するからです。この許可を与えると、攻撃者がモバイルデバイス上で望むあらゆる権限をマルウェアに与えることになります。
念のため、マルウェアはその正体を隠し、解析ツールを欺くためのさまざまな手法も用いています。さまざまなアンチサンドボックス技術や、Androidの通常の管理されたランタイム環境外で動作するため解析が難しいネイティブライブラリも利用しています。また、「Virbox」と呼ばれる中国製の商用パッカーを使い、悪意のあるコードを圧縮・暗号化・難読化・仮想化することで、解析作業を困難にしています。
夜のトロイの木馬
Klopatraは最終的には、リモートアクセス型トロイの木馬(RAT)であり、典型的な情報収集機能を備えています。スクリーンショットや画面録画の取得、インストール済みアプリのリスト収集、偽の通知の表示などです。他のバンキング型トロイの木馬と同様に、正規アプリの上にあらかじめ用意したログイン画面を重ねて表示し、ユーザーが本物だと思い込んで入力した認証情報を盗みます。しかし、これは攻撃の本番に向けた前段階に過ぎません。
Klopatraが最も効果を発揮するのは、攻撃者が被害者のデバイスをまるで手に取って操作しているかのように遠隔操作できるときです。Cleafyのレポートによれば、攻撃者は指でタップしたり、スワイプや長押しを遠隔でシミュレートできます。実質的に、ほぼ何でもできるのです。画面のロックや解除、PINやパスワードパターンの入力、アプリの起動や操作、テキストの入力やクリップボードからのコピーなど。もし望めば、Klopatraを使って被害者の母親にメッセージを送ることさえできるでしょう。
しかし、もし被害者が自分のスマホで幽霊が母親にメッセージを送っているのを見たら、不審に思うかもしれません。実際、Cleafyの研究者がKlopatraの攻撃を追跡したところ、ハッカーたちはそれを考慮し、特にヨーロッパの夜間に遠隔操作を実行していることが分かりました。典型的な流れは次の通りです:
まず、マルウェアは画面がオフでユーザーが非アクティブであることを確認します。さらに、デバイスが接続されて充電中であることも確認し、被害者が夜間に充電していて、数時間はデバイスを開かない可能性が高いと判断します。
次に、攻撃者はデバイスを起動しますが、画面の明るさをゼロにして外見上はまだオフのように見せかけます。以前に盗んだPINやパスワードパターンでロックを解除し、標的のバンキングアプリを開いて、これもまた事前に盗んだ認証情報を入力します。最後に、被害者の銀行口座から自分の口座に複数回の送金を行い、資金を抜き取ります。被害者は翌朝目覚めるまで何も気付かず、貯金がなくなって初めて事態に気付きます。
Zimperiumのグローバルソリューション担当副社長Kern Smith氏は、Klopatraのようなバンキングマルウェアは長年存在しているにもかかわらず、今なお成長し進化していると述べています。「今日のバンキングマルウェアは単にパスワードを盗むだけでなく、オーバーレイ、リモートコントロール、ソーシャルエンジニアリングを組み合わせてリアルタイムの詐欺を実行します」と彼は言い、「組織は攻撃者の進化に合わせて迅速に適応できる、モバイル専用のツールが必要です」と続けています。
翻訳元: https://www.darkreading.com/threat-intelligence/klopatra-trojan-bank-transfers-sleep
