Google Playに今なお潜伏し続けるバンキングトロージャン

この記事をシェア

不正アプリは公式ストアからすべて削除されるまでに大変多くのユーザーによってインストールされてしまっている。ペイロードに潜んでユーザーのデバイスをのっとり勝手にダウンロード/インストールをおこなうなど、巧妙に活動をおこなうアプリの実態と予防策について解説をする。

Google Playに今なお潜伏し続けるバンキングトロージャン

マルウェアを用いて攻撃をたくらむ者は、常にAndroidユーザーの警戒心をチェックしている。彼らはバンキングトロージャンを通常のアプリに偽装させ、Androidの公式アプリストアであるGoogle Playに登録するという手口を使っているのだ。2018年8月から10月初めまでにGoogle Playで発見されたもののうち、ステルス性の高かった29種類についての分析では、ブースター、デバイスクリーナー、バッテリーマネージャーにとどまらず、星占いをテーマとしたアプリにまで偽装していたことが判明している。

近年増殖している正規の金融機関になりすまし、偽のログイン画面を表示するだけの不正アプリと異なり、これらのアプリはより高度で複雑な機能を有している。そして、ユーザーが不正動作に気づきにくいなど、ステルス性も高いモバイルバンキングマルウェアとして分類されている。

このようなリモートで制御されるバンキングトロージャンは、ターゲットとされたユーザーのデバイスにあるすべてのアプリを標的にすることが可能だ。しかも、ターゲットに合わせ動的に内容をアレンジしたフィッシング詐欺を仕掛けることができるのだ。さらに、二段階認証のために送付されたテキストメッセージを傍受/リダイレクトし、記載されたログインコードを利用してログインすることすらできてしまう。他にも、感染したデバイスに対し他のアプリを勝手にダウンロード/インストールすることもできる。これらの不正アプリは、Google Playへアップロードされる際には、別のデベロッパー名や外見(アイコンなど)が使われていた。しかし、いずれのアプリもコードに類似性があることや、同一のC&C(コマンド&コントロール)サーバーと情報が共有されていることから、単一の攻撃者またはグループが作成したアプリであることが明らかになった。

図1 ? Google Playで発見されたバンキングトロージャンの例

図1 – Google Playで発見されたバンキングトロージャンの例

今回の分析対象となった不正アプリ29種類は、ESETの研究者たちがGoogleに通知した後、公式のAndroidアプリストアからはすべて削除された。しかしながら、このようなアプリはアプリストアから削除される前に、すでに合計3万人近くのユーザーにインストールされてしまっている。

異常に気づかないほど巧妙な不正アプリの挙動とは

これらのアプリを起動すると、「被害者のデバイスと互換性がないためにアプリが削除された」とのエラーメッセージが表示され、アプリは自身の存在をユーザーの目の届かないところに隠ぺいしようと目論む。もしくは、もともと偽装の際に提示していた星占いなどの機能をアプリとして果たすことで、あたかも正常なアプリであるように振る舞うのだ。

図2 ? 起動後、バンキングトロージャンによって表示された偽エラーメッセージ

図2 – 起動後、バンキングトロージャンによって表示された偽エラーメッセージ

これらのアプリはいずれのものも、不正を働く主な機能は各アプリのデータ保管領域内の暗号化されたペイロード*1の中に隠れている。そして、このペイロードは、「base64*2」でエンコードされ、ハードコードされたキーを使用し、「RC4」と呼ばれる暗号アルゴリズムで暗号化されている。マルウェアは活動の第一段階として最初に、「ドロッパー」と呼ばれるプログラムでエミュレーターやサンドボックスの存在をチェックする。このチェックに失敗すると、ローダーや実際のバンキングマルウェアを含むペイロードを解読し、ドロップする。今回、分析をおこなったアプリには、このような暗号化されたペイロードがいくつかの段階に分かれているものもあった。

  • 1アプリの場合、ヘッダやトレーラなどの識別情報をのぞく、データ保管領域内に保存されているデータそのもののこと。
  • 2データのエンコード方式の一つで、64種類の英数字に限定して通信を行う。
図3 ? エミュレーターのチェック

図3 – エミュレーターのチェック

これらのペイロードは、ターゲットとなったユーザーのデバイスにインストールされたバンキングアプリになりすまし、SMSメッセージの傍受/送信をおこなえるようになる。また、別のアプリをダウンロード/インストールさせることができるのだ。そして最たる特徴は、このマルウェアが感染したデバイスにインストールされたアプリに偽装できることである。マルウェアはデバイスにインストールされているアプリのHTMLコードを取得・利用して、正規のアプリ上に偽のフォームを表示させてしまう。このような挙動のため、ほとんどの場合においてターゲットとなったユーザーはアプリに異常が起きていることにまったく気づくことすらできないのだ。

バンキングトロージャンの被害から逃れるために

幸いなことに、このような特定のバンキングトロージャン(全リストは文末の不正アプリの痕跡(IoC/Indicator of Compromise)の項を参照してほしい)には、高度な技術が使用されていないため、感染したデバイスに永久にとどまることはできない。そのため、このようなアプリをインストールしたかもしれないと思ったら、「設定」> 「一般」 > 「アプリケーションマネージャー」/「アプリ」の手順でアンインストールするとよいだろう。

また、銀行口座に疑わしい取引履歴がないかどうか確認し、インターネットバンキングのパスワード/PINコードの変更も必ずしておきたい。

バンキングマルウェアに感染しないために、以下4つの点を対策として心がけてほしい。

  • 1)基本的にGoogle Playのみからアプリをダウンロードすること。
    しかし、必ずしも不正アプリではないということには注意が必要だ。しかし、今回紹介したような不正アプリはサードパーティーのアプリストアにかなり多くアップロードされており、一度公開されてしまうとGoogle Playのように削除されることはほとんどない。
  • 2)Google Playからアプリをダウンロードする場合、ダウンロード数、アプリの評価やレビューの内容に注意を払うこと。
  • 3)インストールするアプリにどのような権限を許可するかよく考えること。
  • 4)Androidデバイスを常に最新の状態に保ち、信頼できるモバイルセキュリティソリューションを利用すること。
    ESETの製品ならば、「Android/TrojanDropper.Agent.CIQ」という名称のウィルスを検出し、ブロックすることが可能だ。

このような悪意のあるアプリをご紹介いただいたニコラス・クリサイドス (Nikolaos Chrysaidos) 氏には心から感謝を申し上げたい。

不正アプリの痕跡(IoC/Indicator of Compromise)
App name Package name Hash Installs
Power Manager com.puredevlab.powermanager 7C13ADEFC2CABD85AD8F486C3CBDB6379811A097 10+
Astro Plus com.astro.plus 24D2ED751A33BD965A01FA87D7A187D14D0B0849 0+
Master Cleaner - CPU Booster bnb.massclean.boost 101DA4333A26BC6D9DFEF6605E5D8D10206C0EB4 5,000+
Master Clean - Power Booster mc.boostpower.lf E5DC8D4664167D61E5B4D83597965253A8B4CB3B 100+
Super Boost Cleaner cpu.cleanpti.clo 33D59A70363857A0CE6857D201B764EF3E8194DD 500+
Super Fast Cleaner super.dupclean.com E125AC53050CAFA5A930B210C8168EA9ED0FD6F1 500+
Daily Horoscope For All Zodiac Signs ui.astrohoro.t2018 C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA 100 +
Daily Horoscope Free - Horoscope Compatibility com.horochart.uk CD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25 500+
Phone Booster - Clean Master ghl.phoneboost.com 9834B40401D76473D496E73884947D8A9F1920B3 1,000+
Speed Cleaner - CPU Cooler speeeed.cool.fh 7626646C5C6D2C94B9D541BD5A0F320421903277 100+
Ultra Phone Booster ult.boostphone.pb 6156081484663085B4FC5DEAEBF7DA079DD655C3 1,000+
Free Daily Horoscope 2019 fr.dayy.horos 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B 50+
Free Daily Horoscope Plus - Astrology Online com.dailyhoroscope.free c0be22c44e5540322e0ffbf3a6fe18ce0968d3b5 1,000+
Phone Power Booster pwr.boost.pro FCB8E568145AF2B6D8D29C0484417E51DD25717F 1,000+
Ultra Cleaner - Power Boost ua.cleanpower.boost CB37C8C44750874BA61F6F95E7A7C29073CB51DC 50+
Master Cleaner - CPU Booster bnm.massclean.boost 63E1C18D87F41ABF9956FC035D29D3C2890453EE 5,000+
Daily Horoscope - Astrological Forecast gmd.horobest.ty 90f41c64b3ab3f3b43e9d14b52f13143afb643da 1,000+
Speed Cleaner – CPU Cooler speeeed.cool.gh 56be07b21c9992a45c3b44b2e8a26b928e8238e2 0+
Horoscope 2018 com.horo2018i.up c8dc0e94f38556cd83ca6a693fa5b6d7ae3957f7 1,000+
Meu Horóscopo my.horoscop.br 92808ca526f8e655d8fa8716ab476be4041cd505 1,000+
Master Clean - Power Booster mc.boostpower.cf ab88a93b0e919e5e07cf867f4165f78aa77dc403 50+
Boost Your Phone boost.your.phone 5577c9131f026d549a38e3ce48c04a323475927e 1,000+
Phone Cleaner - Booster, Optimizer phone.boost.glh 988AB351549FEB2C1C664A29B021E98E3695A18A 1,000+
Clean Master Pro Booster 2018 pro.cleanermaster.iz b9d32241d169dfd4ca5674dffa357796b200bc2f 10+
Clean Master - Booster Pro bl.masterbooster.pro bcb9ef41fea8878eb10f4189dd55bfe1d03a64b3 5,000+
BoostFX. Android cleaner fx.acleaner.e2018 99bff493d201d42534eec9996fd0819a 50+
Daily Horoscope day.horocom.ww 971a0cf208f99c259966b20aa10380c1 1,000+
Daily Horoscope com.dayhoroscope.en 25e95b32832a491108835b382c4f14aa 1,000+
Personal Horoscope horo.glue.zodnow 0dcaf426bbc3b484aa4004f5c8e48a19 1,000+
この記事をシェア

Androidのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!