ネットバンキングを狙うモバイル向けトロイの木馬が新時代に突入へ!

Securelistが2017年7月中旬よりAndroidをターゲットとしたネットバンキングを狙うSvpeng - Trojan-Banker.AndroidOS.Svpeng.aeファミリーに属する新種のマルウェア(トロイの木馬)を発見したと報告しています。

このSvpengファミリーに属するトロイの木馬は現在、ネットバンキングを狙うスマートフォン(スマホ)などのモバイル向けの中で一番危険だと言われており、今回の新種では新たに「ユーザー補助機能(アクセシビリティー)」を悪用して入力した文字を記録する機能「キーロガー」が実装されていました。

ただし、このユーザー補助機能を悪用する機能が実装された新種のトロイの木馬の感染被害は、今のところ限定的とのこと。国別に見てみると実に23カ国にも被害が及んでいますが、この1週間の間に感染したユーザー数はほんのわずか報告されてるだけとなっています。

被害に遭ったユーザーを国ごとに分けて多い順に上から並べてみると、ロシアが29%、ドイツが27%、トルコが15%、ポーランドが6%、フランスが3%と主にヨーロッパが中心の構成になっています。

【ユーザー補助機能を悪用】

新たに見つかった新種のトロイの木馬はユーザー補助機能を悪用してキーロガーを仕込み、モバイルバンキングにおけるログイン情報などを取得できるようになっています。そもそもユーザー補助機能は本来、障害を持つ人やケガなどで製品をうまく操作できない人を対象にユーザーインターフェース(UI)を拡張する機能です。

攻撃者はこの機能を巧みに悪用し、製品上で実行されているアプリの入力テキストを盗み出すだけでなく、より多くのアクセス権と権限を付与して、トロイの木馬を簡単にアンインストールさせないようにする保護機能を実装できてしまっています。

さらに今回、最も感染数が多かったロシアですが、この新種のトロイの木馬はシステム言語が「ロシア語」になっている場合には機能しないことが確認されています。これは捜査の手がかかった際、ロシアの攻撃者が捜査の対象にならないようにミスリードを誘う手法で、ロシアの攻撃者の間では一般的な手法だとのこと。

そのため、これらの情報を見る限りでは、このトロイの木馬を作成したのは、ロシアもしくはロシア語圏の攻撃者であろうことが推測されます。もちろん、非ロシア語圏の攻撃者がわざとロシア語圏のユーザーには被害が出ないようにして、ロシアの攻撃者が犯人であると仕立て上げている可能性も捨てきれませんが……。

【革新的なトロイの木馬】

Svpengファミリーに属するトロイの木馬は実に革新的なトロイの木馬として知られており、2013年以降にSMSを利用したネットバンキングを対象とした攻撃を開始し、フィッシングサイトを用意して他のアプリをオーバーレイしてログイン情報を盗み出し、端末を勝手にロックして身代金を要求しています。

また2016年にはGoogleのWebブラウザー「Chrome」の脆弱性を利用して、広告サービス「Google AdSense」に不正な広告を出して、トロイの木馬を配布する“マルバタイジング攻撃”を行ってきました。

マルバタイジング攻撃はパソコン(PC)などではよくある手法ですが、モバイル向けでは珍しいケースだったため、最も危険なモバイル向けトロイの木馬であるとされ、監視強化対象になっています。

【Svpengファミリーのトロイの木馬に感染すると……】

Svpengファミリーのトロイの木馬に感染すると、まずはじめに端末のシステム言語をチェックし、ロシア語以外の言語が設定されていることが分かり次第、アクセシビリティサービスの使用許可を要求します。

この要求を許可してしまうと、悪意のあるアプリを勝手にデフォルトのSMSアプリとしてインストールし、SMSを送受信したり、電話をかけたり、連絡先を勝手に読み込む権限を付与します。

そして、新たに実装された機能を利用して、トロイの木馬をアンインストールするユーザーの権限を削除し、ユーザーがトロイの木馬をアンインストールできないように細工を行います。さらに他のアプリの管理者権限を追加または削除することができないようにする興味深い動きも確認することができます。

アクセシビリティサービスを悪用すると、トロイの木馬は端末上で実行されているアプリのUIを解析し、利用可能のであればUI要素の名前やそのコンテンツなどのデータを盗み出すことができ、このデータには入力された文字も含まれるということです。

さらにユーザーが文字を入力する度に画面のスクリーンショットを作成し、勝手にサーバーへアップロードします。ただし、モバイルバンキングアプリなど、一部のアプリではスクリーンショットが撮影できないようになっているため、画面情報を盗み出すことができないようになっています。

そんな事態を避けるために、このトロイの木馬ではさらに攻撃対象のアプリ上にフィッシングウインドウを描画し、偽のログインフォームをオーバーレイして表示します。

ユーザーとしては一見、いつも通りのアプリ画面にしか見えないため、気付かずにログイン情報を入力してしまい、結果モバイルバンキングのログイン情報が盗み出されてしまいます。

今回、この新種を発見したSecurelistのRoman Unuchek氏はトロイの木馬が実行したコマンドと制御サーバー(C2サーバー)から受け取った情報から暗号化された設定ファイルを取得することに成功しました。この情報からオーバーレイされるフィッシングウィンドウの表示先URLを特定することができました。

さらに同氏はトロイの木馬が動作を停止させようとしたウイルス対策アプリとフィッシングウィンドウをオーバーレイ表示させる対象のアプリを特定しました。


オーバーレイ表示している例(画像はSecurelistより転載)

トロイの木馬が「Google Playストア」アプリにフィッシングウィンドウをオーバーレイして表示している様子では、一目見ただけではそれが偽物のオーバーレイされた不正なものであるとなかなか気付きにくくなっています。

【Flashプレイヤーに偽装する】

さらにこのトロイの木馬は「Adobe Flash Player」アプリに偽装して端末にインストールされます。なお、今回発見された新種は現在提供されている最新のAndroidセキュリティーパッチを適用していたとしても感染すると動作してしまうことが確認されています。そのため、今のところは被害は限定的ではありますが、現状対策する手立てがありません。


Flashプレイヤーアプリに偽装(画像はSecurelistより転載)

さらにGoogleがセキュリティー対策パッチをリリースしたとしても、実際にAndroid搭載製品にはメーカーがそのパッチを配信するまで時間がかかったり、そもそも配布するかどうか分からないといった非常に深刻な問題が存在しているだけに安心することができません。

一方、最近導入されたAndroid標準のセキュリティー機能「Google Playプロテクト」であれば、今回見つかった新種については感染を遮断することはできますが、さらに同等の亜種が作成されれば感染してしまう可能性も十分にあるため、根本的な問題解決には至らないと思われます。

最近、特にスマホなどのモバイル向けのトロイの木馬が非常に活発化してきています。これからはモバイルデバイスを利用するには常に細心の注意を払うことが要求されてくるようになるのか、AIなどを活用して事前にGoogle Playプロテクトで防げるような仕組みができるのか、ユーザーとしては特に気にせず安心して使えるようになって欲しいところです。

記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・A new era in mobile banking Trojans - Securelist