Cleafyはこのほど、「A new TrickMo saga: from Banking Trojan to Victim's Data Leak|Cleafy Labs」において、Androidを標的とする新しいバンキング型トロイの木馬を発見したと報じた。2024年6月に発見したこのマルウェアは「TrickMo」の亜種で、多要素認証(MFA: Multi-Factor Authentication)を回避できるという。
A new TrickMo saga: from Banking Trojan to Victim's Data Leak|Cleafy Labs
○侵害経路
マルウェアの初期感染経路は偽のChromeアプリとみられている。ユーザーが偽のChromeアプリをインストールすると、Google Playの更新を要求する警告メッセージが表示され「Google services」という名称の悪意のあるアプリをインストールするよう指示される。アプリをインストールして起動すると、アクセシビリティサービスの有効化が要求され、許可すると侵害される。
侵害経路 引用:Cleafy
○「TrickMo」の亜種
Cleafyの分析により、マルウェアは2019年に特定された「TrickMo」の新しい亜種と判明した。初期の主要機能は銀行アプリの認証情報の窃取で、現在は次の機能があるとされる。
SMS(Short Message Service)のメッセージおよび認証アプリのワンタイムパスワード(OTP: One Time Password)を窃取して、多要素認証を回避する
スクリーンの録画
写真の窃取
キーロガー
デバイスの遠隔制御
アクセシビリティサービスを悪用した銀行アプリの制御
高度な難読化による分析妨害
高度な検出回避
○影響と対策
Cleafyの調査により、攻撃者のコマンド&コントロール(C2: Command and Control)サーバには構成ミスが存在することが明らかになった。Cleafyは構成ミスを突くことでそのサーバにアクセスし、12GBの写真や機密情報を発見。このデータは誰でもアクセス可能なため、他の脅威アクターに漏洩した可能性がある。
また、サーバからオーバーレイ攻撃に用いたとみられる銀行サイトの偽のログインページが発見された。攻撃者はこれら偽のログインページを使用して、被害者から認証情報を窃取したものとみられている。
偽のログインページの例 引用:Cleafy
Cleafyは、このマルウェアにより写真を含む機密情報が広く漏洩した可能性があるとして注意を呼びかけている。影響を受けたユーザーはリスク評価を実施し、認証情報の更新、アイデンティティ監視サービスの活用などが推奨されている。なお、調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)は、データ漏洩を拡大させるとして原則非公開となっている。
PCMAX
ITトピックス
ITランキング
- 1
閉店相次ぐ地方百貨店、復活への「特別」画像あり
- 2
7割以上の家庭に住宅侵入リスクあり / 「COSORI TurboBlaze 6.0L ノンフライヤー」レビュー【まとめ記事】画像あり
- 3
サンリオピューロランド「PUROHALLOWEEN」/ おにぎりと緑茶を楽しむ「おにぎりと綾鷹屋」【まとめ記事】画像あり
- 4
コンパクトで座り心地抜群!オフィスチェア画像あり
- 5
Salesforce、AIトレーニングを無償提供 - 本社にAIスキル向上フロア設置画像あり
- 6
【YOASOBIコメントあり】Ginza Sony Park(工事中)× YOASOBI画像あり
- 7
Google Chrome基本キーボードショートカット11選(WindowsとmacOS)画像あり
- 8
台湾政府、セキュリティの問題からZoomの利用を禁止画像あり
- 9
個人の力を組織に。企業が組織としてのつながりを生み出す!人材育成・組織開発の新コーチングサービス『THE COACH for Business』発表会画像あり
- 10
ルイ・ヴイトン「SERIES 1 - THAT WAS THEN, THIS IS NOW」〜前編〜画像あり