Covid-19 に便乗したAndroidマルウェア‐金融機関の認証情報を盗む(メキシコ)

McAfee Mobile Malware Research Teamは、メキシコを標的としたマルウェアを確認しました。このマルウェアは、セキュリティ・バンキング・ツールや、稼働していないATMを報告するための銀行のアプリケーションを装っています。いずれの場合も、このマルウェアは、不正行為を防止するために開発されたツールで緊迫感を演出して、ターゲットにツールの使用を促します。このマルウェアは、標的となったメキシコの金融機関で、被害者の口座にアクセスする重要な認証情報を盗み出します。

McAfee Mobile Securityでは、この脅威をAndroid/Banker.BTとその亜種として認識しています。


マルウェアを広める手口

このマルウェアは、悪意のあるフィッシングページで配布されます。このページでは、実際の銀行のセキュリティに関する情報(オリジナルの銀行サイトからコピーされたもの)が提供され、セキュリティツールとして、または稼働していないATMを報告するためのアプリとして、悪意のあるアプリのダウンロードを推奨します。この脅威の配布方法は、スミッシングキャンペーンに関連していると思われます。また、ラテンアメリカではよく見られる、犯罪者が詐欺電話を直接被害者にかける可能性もあります。幸い、この脅威はまだGoogle Playでは確認されていません。


マルウェアから身を守る方法

パンデミックにおいて、銀行は新しい方法を顧客とのやり取りに採用しました。この急速な変化により、顧客は新しい手続きを受け入れたり、新しいアプリをインストールしたりして、遠隔地とやり取りをすることが「新常識」になっていました。そのためサイバー犯罪者は、これまでよりも信頼しやすい新しい詐欺やフィッシング攻撃を仕掛け、顧客が被害を受けやすくなりました。

幸い、McAfee Mobile Security はこの新しい脅威を Android/Banker.BT として検出できました。

  • モバイル機器にセキュリティソフトウェアを導入する  
  • 不審なアプリをダウンロードしたりインストールしたりする前に、特にSMSや通知リスナーの許可を求めている場合は注意する
  • 公式アプリストアを利用する(公式のアプリストアでマルウェアが配布されている可能性があるため、決して盲目的に信用はしない)
  • 権限を確認し、レビューを読み、開発者の情報があれば確認する

マルウェアの詳細

Figure 1- Phishing malware distribution site that provides security tips
図1-フィッシング・マルウェアの配布サイト
セキュリティに関するヒントを提供しているかのように偽装している

挙動:被害者に認証情報を提供するよう誘導

悪意のあるアプリをインストールして起動すると、まずアプリの目的を説明する偽のメッセージが表示されます: 

– 緊急性を感じさせるような不正な動きをして、ターゲットから報告させるための偽装ツール: 

Figure 2- Malicious app introduction that try to lure users to provide their bank credentials
図2- 銀行口座の承認情報を入力させる悪質なアプリ

「”The Bank”は、不審な動きをブロックできるツールを作成しました。このアプリに掲載されている操作はすべて保留されています。認識できない動きを24時間以内にブロックできなかった場合は、自動的に口座に課金されます。ブロック処理の終了時には、ブロックされた操作の詳細がSMSメッセージで届きます。」

 

– パンデミックの状況下で、新しいクレジットカードを要求するための「Fake ATM failure」ツールでも、同様の文章を掲載してユーザーに誤った安心感を与えます: 

Figure 3- Malicious app introduction of ATM reporting variant that uses the Covid-19 pandemic as pretext to lure users into provide their bank credentials
図3- パンデミックを利用して銀行の認証情報をユーザーに提供させる
ATMに関する報告を行うことができるとして偽のツールを案内する不正なアプリ

Covid-19の衛生対策として、この新しいオプションを作成しました。報告用IDSMSで送られた後、新しいカードをどの支店でも無料で請求可能です。登録した自宅住所で受け取ることができます。注意!NIPCVVなどのセンシティブなデータを要求することはありません。」 このように、一部のセンシティブなデータを要求しないと明示しているため、このアプリの信憑性は一見すると高いのですが、ウェブバンキングの認証情報を要求してきます。

被害者が「アクセス」(画像内の”Ingresar”)をタップすると、バンキング型トロイの木馬はSMSの使用許可を求め、ユーザーIDまたは口座番号、そしてパスワードを入力するように促します。バックグラウンドでは、他の多くのバンキング型トロイの木馬のように、提供された認証情報の有効性を検証したり、元の銀行サイトにリダイレクトしたりすることなく、パスワードまたは「clave」が犯人のサーバーに送信されます。

Figure 4- snippet of user entered password exfiltration
図4-ユーザーが入力したパスワードの流出を示すスニペット

最後に偽の取引リストが表示され、ユーザーはそのリストをブロックすることができますが、これは詐欺のためのプロセスの一つです。すでにこの時点で、詐欺師は被害者のログインデータとデバイスのSMSメッセージへアクセスして第2の認証要素を盗むことができます。

Figure 5- Fake list of fraudulent transactions
図5- 偽の不正取引リスト

新しいカードを要求するための偽のアプリでは、最後に「この Covid-19 衛生的な措置を講じました。お客様のアカウントを保護する方法を学ぶため、不正行為防止のヒントをご覧ください」というメッセージを表示します。

Figure 6- Final view after the malware already obtained bank credentials reinforcing the concept that this application is a tool created under the covid-19 context.
図6- マルウェアが銀行の認証情報を取得した後の最終画面
このアプリケーションが covid-19 に関連して作成されたツールであると信じ込ませる

マルウェアはバックグラウンドで、配布に使用されたのと同じドメインでホストされているコマンド&コントロー ル・サーバに接触し、ユーザー認証情報とすべてのユーザーのSMSメッセージをクエリー・パラメータ(URLの一部) として HTTPSで送信します。通常、この種のマルウェアは盗んだデータをうまく処理できないため、この情報が他の犯罪者グループに流出、漏洩することは不思議ではなく、被害者にとってこの種の脅威はさらに危険なものとなります。図8は、盗まれたデータを表示するための構造を含む、公開されたページの一部のスクリーンショットです。

Figure 7 - Malicious method related to exfiltration of all SMS Messages from the victim's device.
図7 – 被害を受けたデバイスからのすべてのSMSメッセージの流出に関連する悪意のある手法

テーブルヘッダ: 日付、送信元、本文メッセージ、ユーザー、パスワード、ID: 

Figure 8 – Exposed page in the C2 that contains a table to display SMS messages captured from the infected devices.
Figure 8 – 感染したデバイスから取得したSMSメッセージを表示するテーブルを含むC2の公開ページ

このモバイルバンカーは、サイバー犯罪者間のブラックマーケットで商業化されている、よく知られたより強力なバンキング型トロイの木馬フレームワークとはリンクしない、ゼロから開発された詐欺であることが興味深い点です。逆コンパイルされたコードを見ると、アクセシビリティサービスクラスは存在するものの実装はされていないことから、マルウェアの制作者は、より成熟したマルウェアファミリーの悪意ある挙動を模倣しようとしていると考えられます。明らかにローカルな開発であり、将来的により深刻な脅威に発展する可能性があります。自己回避の観点から見ると、このマルウェアは解析、検出、逆コンパイルを回避する技術を有していないため開発の初期段階であることが見て取れます。

IoC 

SHA256: 

  • 84df7daec93348f66608d6fe2ce262b7130520846da302240665b3b63b9464f9 
  • b946bc9647ccc3e5cfd88ab41887e58dc40850a6907df6bb81d18ef0cb340997 
  • 3f773e93991c0a4dd3b8af17f653a62f167ebad218ad962b9a4780cb99b1b7e2 
  • 1deedb90ff3756996f14ddf93800cd8c41a927c36ac15fcd186f8952ffd07ee0 

Domains: 

  • https[://]appmx2021.com 

※本ページの内容は2021年9月13日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:Android malware distributed in Mexico uses Covid-19 to steal financial credentials
著者:Fernando Ruiz