モバイル系マルウェア減少傾向の中、バンキングトロジャンは増加し収益化手法も多様化【JPAAWG 5th General Meeting】

INTERNET Watch

株式会社カスペルスキーの石丸傑氏( Global Research & Analysis Team シニアセキュリティリサーチャー)。画像は2021年の説明会時のもの

 メールを中心としたメッセージングセキュリティの対策を検討・実施する国内の業界団体Japan Anti-Abuse Working Group(JPAAWG)は11月7日~8日に、年次カンファレンスイベント「JPAAWG 5th General Meeting」を開催した。ここでは8日に行われた株式会社カスペルスキーの石丸傑氏(Global Research & Analysis Teamシニアセキュリティリサーチャー)による講演「マルウェア解析者から見た日本をとりまくモバイル脅威の実状2022」の内容を紹介する。

 カスペルスキーの統計では、悪性なAPKファイル(Androidアプリのインストール形式)は減少傾向にあり、カスペルスキーで2022年第2四半期に検知した検体数は前年比で半分以下になったという。

 一方、モバイル向けのバンキングトロジャンは2021年第4四半期から検知数が大幅に増加。これが今回のテーマとなっている脅威だ。バンキングトロジャンに注目する理由は、標的のうち日本が占める比率の高さだ。2021年第2四半期では、世界で検知されたバンキングトロジャンのうち、1.62%が日本を標的としており、これは世界でトップの割合だった。2022年第2四半期には、日本は0.14%と大きく割合を減らしたものの、依然として世界7位となっている。

2021年第二四半期から2022年第二四半期までの悪性APKファイルの検知数は減少傾向にあり、Androidのマルウェア脅威は減ったように見える

モバイル向けバンキングトロジャンは増加傾向にあり、さらに単なるバンキングトロジャンとは言えなくなった

1年前はモバイル向けバンキングトロジャンの検知率が最も多いのは日本であり、今年は減ったもののそれでもトップ10に含まれている

 石丸氏はいくつかのバンキングトロジャンの詳細を紹介した。バンキングトロジャンとして検知されている2022年第2四半期ランキングの1位と2位に関連しているのが2017年から観測されたAnubisで、感染経路として、Google Play/スミッシング/Bian malwareを使用している。しかし、攻撃対象として日本は含まれておらず、日本のユーザーからの検知数も非常に少ない。

 内部解析を行うと一般的なバンキングトロジャンの持つ機能に加え、Google Playの保護機能を無効化する機能とファイル暗号化が加わっているという。ファイル暗号化はランサムウェアに不可欠な機能であり、現在のAnubisはバンキングトロジャン以外にランサムウェアの機能を持っていると石丸氏は指摘した。

 Anubisが将来日本を標的に加えた場合、日本のユーザーは銀行口座の認証情報を盗まれるだけでなく、ファイル暗号化による脅迫を受けることになるという。

Anubisはバンキングトロジャンの機能に加えて、ランサムウェアの機能を持っている。対象となるのは主にユーザーデータだ

 2番目に紹介したのが「Roaming Mantis」で、2022年第2四半期ランキングの9位に入っている。Roaming Mantisは2018年から観測されているサイバー攻撃キャンペーンで、AndroidだけでなくiOSやWindowsもターゲットになっている。現在はスミッシングによる侵入を主としているが、以前はDNSハイジャックなども使用しており、攻撃ターゲットに日本が含まれている。

 日本での攻撃事例は宅配業者を装ったSMSに記載されたURLからランディングページへと誘導して、Androidの場合はマルウェアのインストール、iOSの場合はApple IDの窃取を試みる。

以前から日本でも猛威を振るっていたRoaming Mantis。日本でのスミッシング経由の感染は宅配業者を装ったSMSが多い

 マルウェアは検知回避のために暗号化されているが、今回解析したRoaming Mantisは複合がJava Native Interfaceで実装されており解析を難しくしているという。解析を進めると、感染端末が使用しているキャリアとインストールされているアプリをチェックしており、日本がターゲットに含まれている事が確認できた。

 Roaming Mantisには合計21個のバックドアコマンドが含まれているが、その中には写真を取得するものが含まれていた。これはクレジットカード、免許証、健康保険証などの画像を取得するためと石丸氏は推定している。

Roaming Mantisの亜種の1つ「Wroba.o/Agent.eq」を解析した結果、感染先端末のモバイルキャリアとアプリを確認していたことが判明

用意されているバックドアの中に画像を取得するものが見つかった

 最後に紹介されたのがランキング外の「AbereBot」だ。2022年第2四半期のランキング外だがアンダーグラウンドのフォーラムで公開されたバンキングトロジャンで、Telegramボットアカウントを指令サーバーとしているのが特徴だ。

 AbereBotは日本を含む19以上の国/地域を標的としており、日本の銀行アプリ名も含まれている。

 さらにクリップボード上のBitcoinアドレスを攻撃者のものと思われるBitcoinアカウントに書き換える機能があり、石丸氏は「(複雑な)送金先Bitcoinアドレスをコピペして入力する際にすり替える」と推測している。また、ユーザーがアンインストールしようとすると、それを察知して「戻るボタン×2」によってホーム画面に戻してアンインストールを回避するという。

AbereBotは日本を含む19以上の国/地域を標的としており、標的を記したコードには、日本の銀行アプリ名も含まれている。

AbereBotにはクリップボードのBitcoinアドレスを攻撃者と思われるアドレスに書き換える機能が見つかった。アンインストール回避のコードもある

 最後にまとめとして「モバイルマルウェアは減りつつあるが、その中でバンキングトロジャンは増加傾向にある」、「バンキングトロジャンの機能だけではなく、ランサムウェア、仮想通貨のアドレス書き換えによる窃取、写真やギャラリーの窃取と金銭を得る方法を増やしている」という2点を石丸氏は指摘した。

 対策としては一般的なものとしてOS/ソフトウェアのアップデートやメール/SMS/DMを疑うこと、DNS設定が正しいか確認すること、そして、セキュリティ製品の機能の一部オフをやめて全ての機能を有効化すること。そして、モバイルにもランサムウェアがあるので、モバイルデバイスもデータバックアップを推奨していた。

悪意APKファイル検知数は減少傾向にあるなかバンキングトロジャンは逆に増加傾向にある。また、単なるバンキングトロジャンから複数手法で金銭を得る方法が見つかっている

対策としては一般的なものもあるが、ランサムウェアが拡大することを考えるとモバイル端末のデータバックアップが有効だ

Source