Chromeだと思ったらマルウェアだった、Android狙うサイバー攻撃に注意
ThreatFabricは4月25日(現地時間)、「Brokewell: do not go broke from new banking malware!」において、Androidを標的とする新しいバンキング型トロイの木馬「Brokewell」を発見したとして、注意を呼び掛けた。このマルウェアはWebサイト上の偽のGoogle Chromeアップデート広告を通じて配布されるという。
Brokewell: do not go broke from new banking malware!
○偽のGoogle Chromeアップデート広告
ThreatFabricの研究者はWebサイトから偽のGoogle Chromeアップデート広告を発見し、そこから今回のバンキング型トロイの木馬「Brokewell」を発見したという。入手したマルウェアを調査した結果、過去にオンライン金融サービス「Klarna」やオーストリアのデジタル認証アプリケーション「ID Austria」に偽装していたことも発見したとしている。
正規のChromeアップデート広告(左)と偽のChromeアップデート広告(右)の例 引用:ThreatFabric
○バンキング型トロイの木馬「Brokewell」
偽のChromeアップデートとして配布されるバンキング型トロイの木馬「Brokewell」は、データ窃取機能と遠隔操作機能を持つとされる。資格情報は標的のアプリケーションに偽の画面を被せるオーバーレイ攻撃を使用して窃取する。また、WebサイトのセッションCookieを窃取する機能も持っており、独自のWebView画面上に正規のWebサイトをロードして認証させ、ログインを完了すると作成されたセッションCookieをコマンド&コントロール(C2: Command and Control)サーバに送信する。
Brokewellは他にも次のような機能を持つとされる。
すべてのユーザー操作(タッチ、スワイプ、表示情報、テキスト入力など)をキャプチャーする。この機能はすべてのアプリケーションにとって脅威となる
画面ストリーミング
さまざまなリモート操作
スクリーンショットの取得
SIMカード情報の取得
通話履歴、デバイス位置の取得
デバイス情報の取得
パッケージ一覧の取得
アプリケーションのインストールおよびアンインストール
電話をかける
音声録音
SMSメッセージの送信
シェルコマンドの実行
このマルウェアの開発者は「Baron Samedit Marais」と称する脅威アクターとみられ、彼らが管理するC2サーバーの一つからは「Brokewell Cyber Labs」と呼ばれるリポジトリが発見されている。このリポジトリにはマルウェアローダー「Brokewell Android Loader」のソースコードなどが含まれていることが確認されている。
脅威アクターのランディングページ 引用:ThreatFabric
ThreatFabricによると、このマルウェアはほぼ毎日更新されており、今後も進化を続けると予想されている。また、本件調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
○偽のGoogle Chromeアップデート広告
ThreatFabricの研究者はWebサイトから偽のGoogle Chromeアップデート広告を発見し、そこから今回のバンキング型トロイの木馬「Brokewell」を発見したという。入手したマルウェアを調査した結果、過去にオンライン金融サービス「Klarna」やオーストリアのデジタル認証アプリケーション「ID Austria」に偽装していたことも発見したとしている。
正規のChromeアップデート広告(左)と偽のChromeアップデート広告(右)の例 引用:ThreatFabric
○バンキング型トロイの木馬「Brokewell」
偽のChromeアップデートとして配布されるバンキング型トロイの木馬「Brokewell」は、データ窃取機能と遠隔操作機能を持つとされる。資格情報は標的のアプリケーションに偽の画面を被せるオーバーレイ攻撃を使用して窃取する。また、WebサイトのセッションCookieを窃取する機能も持っており、独自のWebView画面上に正規のWebサイトをロードして認証させ、ログインを完了すると作成されたセッションCookieをコマンド&コントロール(C2: Command and Control)サーバに送信する。
Brokewellは他にも次のような機能を持つとされる。
すべてのユーザー操作(タッチ、スワイプ、表示情報、テキスト入力など)をキャプチャーする。この機能はすべてのアプリケーションにとって脅威となる
画面ストリーミング
さまざまなリモート操作
スクリーンショットの取得
SIMカード情報の取得
通話履歴、デバイス位置の取得
デバイス情報の取得
パッケージ一覧の取得
アプリケーションのインストールおよびアンインストール
電話をかける
音声録音
SMSメッセージの送信
シェルコマンドの実行
このマルウェアの開発者は「Baron Samedit Marais」と称する脅威アクターとみられ、彼らが管理するC2サーバーの一つからは「Brokewell Cyber Labs」と呼ばれるリポジトリが発見されている。このリポジトリにはマルウェアローダー「Brokewell Android Loader」のソースコードなどが含まれていることが確認されている。
脅威アクターのランディングページ 引用:ThreatFabric
ThreatFabricによると、このマルウェアはほぼ毎日更新されており、今後も進化を続けると予想されている。また、本件調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。