ThreatFabricは4月25日(現地時間)、「Brokewell: do not go broke from new banking malware!」において、Androidを標的とする新しいバンキング型トロイの木馬「Brokewell」を発見したとして、注意を呼び掛けた。このマルウェアはWebサイト上の偽のGoogle Chromeアップデート広告を通じて配布されるという。

Brokewell: do not go broke from new banking malware!

○偽のGoogle Chromeアップデート広告

ThreatFabricの研究者はWebサイトから偽のGoogle Chromeアップデート広告を発見し、そこから今回のバンキング型トロイの木馬「Brokewell」を発見したという。入手したマルウェアを調査した結果、過去にオンライン金融サービス「Klarna」やオーストリアのデジタル認証アプリケーション「ID Austria」に偽装していたことも発見したとしている。

正規のChromeアップデート広告(左)と偽のChromeアップデート広告(右)の例  引用:ThreatFabric

○バンキング型トロイの木馬「Brokewell」

偽のChromeアップデートとして配布されるバンキング型トロイの木馬「Brokewell」は、データ窃取機能と遠隔操作機能を持つとされる。資格情報は標的のアプリケーションに偽の画面を被せるオーバーレイ攻撃を使用して窃取する。また、WebサイトのセッションCookieを窃取する機能も持っており、独自のWebView画面上に正規のWebサイトをロードして認証させ、ログインを完了すると作成されたセッションCookieをコマンド&コントロール(C2: Command and Control)サーバに送信する。

Brokewellは他にも次のような機能を持つとされる。

すべてのユーザー操作(タッチ、スワイプ、表示情報、テキスト入力など)をキャプチャーする。この機能はすべてのアプリケーションにとって脅威となる

画面ストリーミング

さまざまなリモート操作

スクリーンショットの取得

SIMカード情報の取得

通話履歴、デバイス位置の取得

デバイス情報の取得

パッケージ一覧の取得

アプリケーションのインストールおよびアンインストール

電話をかける

音声録音

SMSメッセージの送信

シェルコマンドの実行

このマルウェアの開発者は「Baron Samedit Marais」と称する脅威アクターとみられ、彼らが管理するC2サーバーの一つからは「Brokewell Cyber Labs」と呼ばれるリポジトリが発見されている。このリポジトリにはマルウェアローダー「Brokewell Android Loader」のソースコードなどが含まれていることが確認されている。

脅威アクターのランディングページ 引用:ThreatFabric

ThreatFabricによると、このマルウェアはほぼ毎日更新されており、今後も進化を続けると予想されている。また、本件調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。