「Androidマルウェアから情報流出、被害拡大のおそれ」
Cleafyはこのほど、「A new TrickMo saga: from Banking Trojan to Victim's Data Leak|Cleafy Labs」において、Androidを標的とする新しいバンキング型トロイの木馬を発見したと報じました。2024年6月に発見したこのマルウェアは「TrickMo」の亜種で、多要素認証(MFA: Multi-Factor Authentication)を回避できるそうです。
https://news.mynavi.jp/techplus/article/20240918-3026711/
出典:TECH+
<侵害経路>
マルウェアの初期感染経路は偽のChromeアプリとみられています。ユーザーが偽のChromeアプリをインストールすると、Google Playの更新を要求する警告メッセージが表示され「Google services」という名称の悪意のあるアプリをインストールするよう指示されます。アプリをインストールして起動すると、アクセシビリティサービスの有効化が要求され、許可すると侵害されます。
<「TrickMo」の亜種>
Cleafyの分析により、マルウェアは2019年に特定された「TrickMo」の新しい亜種と判明しました。初期の主要機能は銀行アプリの認証情報の窃取で、現在は次の機能があるとされています。
・SMS(Short Message Service)のメッセージおよび認証アプリのワンタイムパスワード(OTP: One Time Password)を窃取して、多要素認証を回避する
・スクリーンの録画
・写真の窃取
・キーロガー
・デバイスの遠隔制御
・アクセシビリティサービスを悪用した銀行アプリの制御
・高度な難読化による分析妨害
・高度な検出回避
<影響と対策>
Cleafyの調査により、攻撃者のコマンド&コントロール(C2: Command and Control)サーバには構成ミスが存在することが明らかになりました。Cleafyは構成ミスを突くことでそのサーバにアクセスし、12GBの写真や機密情報を発見しました。このデータは誰でもアクセス可能なため、他の脅威アクターに漏洩した可能性があります。
また、サーバからオーバーレイ攻撃に用いたとみられる銀行サイトの偽のログインページが発見されました。攻撃者はこれら偽のログインページを使用して、被害者から認証情報を窃取したものとみられています。
Cleafyは、このマルウェアにより写真を含む機密情報が広く漏洩した可能性があるとして注意を呼びかけています。影響を受けたユーザーはリスク評価を実施し、認証情報の更新、アイデンティティ監視サービスの活用などが推奨されています。なお、調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)は、データ漏洩を拡大させるとして原則非公開となっています。
サイバー攻撃を防ぐために、多要素認証があらゆる場面で使われるようになりました。
そうなると、本件のように多要素認証をすり抜けるマルウェアが登場します。
不正なChromeアプリから入り込むようですので、Androidユーザーの方は気を付けてください。
又、最近はiOS向けの攻撃も目立つようになってきました。亜種が出てくる可能性もあります。
iOSユーザーさんも十分に気を付けましょう。
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★