NEWS

ニュース | 最新のニュースをお届けします

オンラインバンクを襲うトロイの木馬がAndroid機器に出現

この記事をシェア

Flash Playerのアプリと見せ掛けてインストールさせるマルウェアが多数発見されました。特徴は、本物の画面の上に偽画面を表示させることと、2要素間認証をすり抜けることです。この機能が組み合わさって強力なツールとなり、銀行口座からお金が盗まれる被害が発生することが懸念されます。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。


モバイルバンキングのアプリを利用している方には、特に注意していただきたい事態が発生しています(特にオーストラリア、ニュージーランド、トルコにおいて)。ESETのセキュリティ製品においては「スパイエージェントSI」(Android/SpyAgent SI)として検出されるバンキングマルウェアが蔓延しています。このマルウェアは、20のモバイルバンキングアプリからログイン認証情報を盗み出すことができます。標的となった銀行は数多く、オーストラリア、ニュージーランド、トルコの3カ国の最大手の銀行も含まれます(全リストは当記事の末尾)。ショートメッセージサービス(SMS)の会話を盗み見できるその能力のため、このマルウェアはSMSを利用した2要素認証の秘匿性をかいくぐっています。

分析

このマルウェアはFlash Playerを偽装しており、見掛け上は正規のもののように見えるそのアイコンを使ってユーザーにクリックさせようとします。数多くのサーバー上で発見され、その後も活動は収まっていません。例えば下記の2つのサーバーには「Flash Player.apk」が2016年2月に登録されています。興味を引くのは、この不正なAPKファイルに導くURLは毎時間ごとに更新されることです。そうすることでセキュリティ対策ソフトによるURLの検知を逃れようとしているのです。

「Android/Spy.Agent.SI」をホスティングする不正サイト

アプリをダウンロードしインストールすると、ユーザーはこのアプリケーションにデバイス管理者権限を認めるよう要求されます。これは自己防衛のメカニズムで、デバイスからマルウェアがアンインストールされないようにするためです。Flash Playerのアイコンはその後ユーザーの視界からは姿を消しますが、マルウェアはバックグラウンドで働き続けます。

その後、マルウェアは遠隔地にあるサーバーと通信を続けます。クライアントとサーバーの通信は「base64」(*1)によってエンコードされています。最初にマルウェアは、モデルタイプ、端末識別番号(IMEI)、言語、SDKのバージョン、デバイスの管理者がアクティベートされているかどうかといったデバイスの情報を送信します。この情報は25秒ごとにサーバーに送られます。そしてマルウェアはインストールされたアプリ(モバイルバンキングアプリを含めて)のパッケージ名を集め、それを遠隔地にあるサーバーに送ります。もしその幾つかのアプリがマルウェアの標的であれば、サーバーは49の標的となるアプリの全リストを送ります。ただしその全てが直接攻撃されるわけではありません。

*1 データのエンコード方式の一つで、64種類の英数字に限定して通信を行う。

このマルウェアは、バンキングアプリを立ち上げたときにその上に重なり合わさるオーバーレイ画面として現れます。つまりこれはフィッシングであって、このオーバーレイ画面はロック画面のように動作し、ユーザーがログイン認証情報を入力しない限りは解除できなくなります。といってももちろん、このマルウェアは入力されたデータの認証は行わずにそのデータを遠隔地にあるサーバーに転送し、それが完了するとこの不正なオーバーレイ画面は閉じられます。マルウェアはバンキングアプリのみを標的にしているのではありません。グーグルのアカウント認証情報も同じようにして手に入れようとします。

最初のバージョンはシンプルで、その不正な目的が簡単に分かるようなものでした。ところが最近のバージョンでは、その見た目がかなり紛らわしくなっています。

不正プロセスの要約

標的とするアプリが立ち上がるとマルウェアは始動し、偽のログイン画面がオリジナルのモバイルバンキングアプリの画面の上に重なり合って表示されます。それをクローズするオプションはありません。

サーバーとの交信プロセス

ユーザーが個人データを入力すると、偽のスクリーンが閉じて、正規のモバイルバンキングの画面が現れます。

先に述べたように、デバイスとサーバーでやりとりされる全ての情報は暗号化されていますが、盗まれた認証情報だけは例外として平文の形で送られます。

暗号化されずに送信される認証情報

マルウェアは、リクエストがあれば受け取った全てのテキストメッセージをサーバーに送ることで、2要素間認証をすり抜けることができるようになります。そのため攻撃者は銀行からのSMSテキストを全て途中で奪い取り、クライアントのデバイスからそのメールを即座に除去し、ユーザーに少しも疑念を抱かせないようにできるのです。

マルウェア除去の方法

ユーザーがこのマルウェアをアンインストールしようとするならば、起こり得るシナリオは2つあります。1つは、ユーザーが管理者権限を停止し、その後にデバイスから偽Flash Playerを除去することです。管理者の特権をアクティベート解除すると、可能性としては2つの結果が考えられます。単純な方は「設定→セキュリティ→端末管理者→Flash Player→非アクティブ化」の手順でまず管理者権限を非アクティブ化して、次に偽の警告を無視して「OK」を選択します。

端末管理者の非アクティブ化

そしてユーザーは「設定→アプリマネージャ→Flash Player→アンインストール」という手順でマルウェアをアンインストールできます。

ただし、デバイスがサーバーからデバイスの管理者権限のアクティベート解除できないようにするコマンドを受けてしまうと、この除去はより込み入ったものになります。もしそうなれば、ユーザーがアクティベート解除しようするとマルウェアは前面にオーバーレイ画面を作り出してしまい、そのためユーザーは確認ボタンをクリックすることができなくなります。そうなると管理者権限のアクティベート解除は失敗してしまいます。

マルウェアによって表示されたオーバーレイ画面

管理者の権限を安全にアクティベート解除するもう1つの方法は、セーフモードに入ることです。セーフモードで起動すると、サードパーティーのアプリはロードしたり実行したりすることができなくなります。そしてユーザーは管理者特権を、第一のシナリオと同じように、安全にディアクティベートできます。そうすれば、アプリケーションをアンインストールできます。

さまざまなバンキングアプリの偽ログイン画面

ASB銀行(ニュージーランド、左)、ベンディゴ銀行(オーストラリア、右)

ウエストパック銀行(オーストラリア、左)、バンクウエスト(オーストラリア、中央)、PayPal(右)

ニュージーランド銀行(左)、オーストラリア・ニュージーランド銀行(中央、右)

オーストラリア・コモンウェルス銀行(左)、ウェルズ・ファーゴ(米国、中央)、ナショナルオーストラリア銀行(右)

キーウィ銀行(ニュージーランド)

ハルク銀行(トルコ、左)、Turkiye 0_銀行(トルコ、中央)、フィナンス銀行(トルコ、右)

ズィラート銀行(トルコ、左)、Google(右)

テクニカル情報

ESETによる検出名:
Android/Spy.Agent.SI

マルウェアが通信に利用しているC&Cサーバー:
http://94.198.97.202
http://46.105.95.130
http://181.174.164.138

偽Flash Playerのダウンロードサーバー:
http://flashplayeerupdate.com/download/
http://adobeflashplaayer.com/download/
http://adobeuploadplayer.com/download/
http://adobeplayerdownload.com/download/
http://adobeupdateplayer.com/download/
http://adobeupdateplayeer.com/download/
http://adobeupdateflash11.com/download/

偽ログイン画面が表示された銀行名:
Westpac
Bendigo Bank
Commonwealth Bank
St. George Bank
National Australia Bank
Bankwest
Me Bank
ANZ Bank
ASB Bank
Bank of New Zealand
Kiwibank
Wells Fargo
Halkbank
Yap1 Kredi Bank
Vak1fBank
Garanti Bank
Akbank
Finansbank
Turkiye 0_ Bankas1
Ziraat Bankas1

標的となったアプリのURL名:
org.westpac.bank
com.westpac.cashtank
au.com.westpac.onlineinvesting
org.banking.westpac.payway
com.rev.mobilebanking.westpac
com.westpac.illuminate
com.bendigobank.mobile
com.commbank.netbank
org.stgeorge.bank
au.com.nab.mobile
au.com.bankwest.mobile
com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
finansbank.enpara
com.pozitron.iscep
com.wf.wellsfargomobile
com.wf.wellsfargomobile.tablet
com.wellsFargo.ceomobile
com.wellsfargo.mobile.merchant
com.tmobtech.halkbank
com.ziraat.ziraatmobil
au.com.mebank.banking
com.anz.android.gomoney
nz.co.anz.android.mobilebanking
nz.co.westpac
nz.co.asb.asbmobile
nz.co.bnz.droidbanking
nz.co.kiwibank.mobile
com.ykb.android
com.vakifbank.mobile
com.garanti.cepsubesi
biz.mobinex.android.apps.cep_sifrematik
com.paypal.android.p2pmobile
com.ebay.mobile
com.skype.raider
com.whatsapp
com.google.android.googlequicksearchbox
com.android.vending
com.google.android.music
com.google.android.apps.plus
com.android.chrome
com.google.android.apps.maps
com.google.android.youtube
com.google.android.apps.photos
com.google.android.apps.books
com.google.android.apps.docs
com.google.android.apps.docs.editors.docs
com.google.android.videos
com.google.android.gm

マルウェアのハッシュ値:
C31E5E31210B08BA07AC6570814473C963A2EF81
6CAD2250EDDF7EDDF0B4D4E7F0B5D24B647CB728
4A788D05DD8849CD60073F15255C166F06611475
EE88D05CF99D8C534FBA60D1DA9045FB7526343A
26A2B328F194B6B75B2CC72705DC928A4260B7E7
4AD1DBB43175A3294A85957E368C89A5E34F7B8C
DB228BB5760BD7054E5E0A408E0C957AAC72A89F
266B572B093DB550778BA7824E32D88639B78AFC
E4FA83A479642792BC89CA3C1553883066A19B6C
644644A30DE78DDCD50238B20BF8A70548FF574C
F1AAAE29071CBC23C33B4282F1C425124234481C
CAC078C80AD1FF909CC9970E3CA552A5865C7963
1C8D0E7BB733FBCEB05C40E0CE26288487655738
FE6AC1915F8C215ECEC227DA6FB341520D68A9C7
BD394E0E626CE74C938DDDF0005C074BC8C5249D
D7E0AFCE7D2C4DE8182C353C7CBA3FAC607EAFC9
A804E43C3AFF3BDAEE24F8ABF460BAA8442F5372
0EF56105CF4DBF1DAE1D91ECE62FC6C4FF8AD05F
9FD295721C1FF87BC862D19F6195FDDE090524D9
57D0870E68AC1B508BC83F24E8A0EBC624E9B104
521F9767104C6CBB5489544063FCE555B94025A6
E5F536408DBB66842D7BB6F0730144FDD877A560
3FA6010874D39B050CA6CA380DAD33CA49A8B821

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!