通常、Androidマルウェアの場合、新たな亜種が発見されると、以前の亜種をベースに構築されることが多いです。しかし、現在オンラインで出回っているAndroid向けバンキング型トロイの木馬はそうではありません。このトロイの木馬は、既存のマルウェアファミリーとのコードの類似性がなく、ゼロから作成されたようです。
Hacker Newsの報道によると、この新たなバンキング型トロイの木馬は、Threat Fabricのセキュリティ研究者によって「RatOn」と名付けられました。彼らは、近距離無線通信(NFC)を利用してAndroidユーザーから非接触決済情報を盗み出す別のマルウェアの亜種を調査中にこのトロイの木馬を発見しました。この新しいサンプルで最も驚くべき点は、このトロイの木馬が単一の悪意のあるアプリではなく、複数の悪意のあるアプリを巻き込んだキャンペーンの一部であったことです。
Threat Fabricはこの新たなキャンペーンをさらに分析した結果、RatOnが複数の独自の機能を備えた、完全に機能するバンキング型トロイの木馬であることを発見しました。このバンキング型トロイの木馬は、高性能Androidスマートフォンとそのアカウントを乗っ取るだけでなく、自動送金を実行したり、カスタムオーバーレイ攻撃を使用して被害者にデバイスがランサムウェアに感染していると思わせたりすることも可能です。
ここでは、この新しいマルウェアの種類について知っておくべきことすべてと、金融口座を完全に空にする可能性のあるバンキング型トロイの木馬から Android スマートフォンを保護するためのヒントとコツを紹介します。
オーバーレイから自動送金まで
このキャンペーンの背後にいるハッカーたちは、潜在的な被害者を騙して悪意のあるアプリをインストールさせるために、アダルト系のテーマのドメインを複数登録し、それらを餌として利用しました。具体的には、これらの偽サイトの名前には「TikTok18+」が含まれていました。しかし、Threat Fabricのセキュリティ研究者は、ハッカーたちがどのようにして被害者をこれらのサイトに誘導したのかを突き止めることができませんでした。過去には、ハッカーがフィッシングメール、ソーシャルメディア上のランダムなメッセージ、さらには偽の広告を使って、悪意のあるサイトへのリンクをクリックさせようとするのを目にしてきました。
誰かが愚かにもAndroidスマートフォンにTikTokの成人向けバージョンをサイドロードした場合、最終的にインストールされるのはマルウェアドロッパーまたはサードパーティ製のソフトウェアインストーラーです。マルウェアドロッパーは、ユーザーを騙して不明なソースからのアプリのインストールを許可させることで、Androidに組み込まれたセキュリティ保護を回避します。これは最初のペイロードのダウンロードとインストールに使用され、その後、2番目のペイロードと、デバイス上で不正行為を企むハッカーにとって不可欠な2つの権限(アクセシビリティサービスへのアクセスとデバイス管理者権限)が要求されます。
他のバンキング型トロイの木馬と同様に、RatOnはAndroidのアクセシビリティサービスを悪用し、感染したデバイスにオーバーレイ攻撃を仕掛けます。この攻撃についてご存じない方のために説明すると、ハッカーは一般的な銀行・金融アプリの上に、正規のログイン画面とほぼ同じオーバーレイを表示します。これにより、ハッカーは被害者の銀行認証情報を取得し、本人が銀行、金融、または暗号通貨ウォレットアプリにログインしていると思い込むだけで、気づかれることなくアカウントにアクセスできるようになります。
最新ニュース、最も注目されているレビュー、お得な情報、役立つヒントにすぐにアクセスできます。
RatOnマルウェアを拡散するサイバー犯罪者が用いるもう一つの興味深い手法は、オーバーレイを使って被害者に、ハッカーによって携帯電話がロックされたと思わせることです。もちろん、ロックを解除するには、ランサムウェア攻撃と同様に多額の金銭を送金する必要があります。しかし、実際には携帯電話はランサムウェアに感染しておらず、RatOnというバンキング型トロイの木馬に感染しているのです。
RatOnは、悪意のある活動を実行するために、連絡先の読み取り/書き込みやシステム設定の管理へのアクセスも要求します。そこから3つ目のペイロードがダウンロードされますが、これはThreat Fabricが当初調査対象としていたNFSkateマルウェアです。NFSkateはGhost Tapと呼ばれる手法を用いて、NFCリレー攻撃を実行し、非接触型決済情報を盗み出します。しかし、このマルウェアでは、これらの攻撃は標的のAndroidスマートフォンの物理的な範囲内で直接実行される必要がありました。
RatOn という新たなマルウェアは、Android のアクセシビリティサービスを悪用して自動送金(ATS)を実行できます。つまり、このマルウェアを攻撃に利用したハッカーは、あなたと同じ部屋にいなくても、世界中のどこからでもあなたの金融口座の情報を盗み出すことができるのです。
バンキング型トロイの木馬から身を守る方法
幸いなことに、RatOnは現時点ではチェコ共和国のAndroidユーザーのみを標的にしている。しかし、他のAndroidマルウェアと同様に、この地理的な地域は、マルウェア作成者が米国や英国などの他の国のAndroidスマートフォンを標的にする前に、その効果を確認するためのテストの場に過ぎない可能性がある。
私は、RatOn とこの新しい Android マルウェアがどのように進化していくのかを注意深く見守っていくつもりですが、その間、携帯電話 (および銀行口座) を危険なトロイの木馬から守るためのヒントとコツをいくつか紹介します。
まず、どうしても必要な場合を除き、Androidアプリをサイドロードすることは避けてください。新しいアプリはすべて、Google PlayストアやSamsung Galaxy Storeなどの公式アプリストアからダウンロードしてください。Googleは次期Androidバージョンでサイドロードを完全に禁止する予定ですが、たとえ新しいアプリをスマートフォンにインストールする便利な方法に思えても、今のところはサイドロードは避けるべきです。
新しいアプリをインストールする際は、どんなに良いアプリでも悪質なものになってしまう可能性があるので、細心の注意が必要です。だからこそ、スマートフォンにインストールするアプリの数を全体的に制限することを強くお勧めします。そして、もし特定のアプリを長期間使用していない場合は、削除するのが最善策です。
悪質なアプリから身を守るには、お使いのスマートフォンでGoogle Play プロテクトが有効になっていることを確認してください。この無料のセキュリティソフトウェアは、既存のアプリと新しくダウンロードしたアプリをすべてスキャンし、マルウェアやその他の悪質なアクティビティの兆候がないか確認します。さらに保護を強化するには、Android向けの優れたウイルス対策アプリを併用することをお勧めします。
ハッカーの活動はすぐには衰えそうになく、常に新しいマルウェアやRatOnのようなバンキング型トロイの木馬が登場しており、注意が必要です。しかし、サイバー衛生を徹底し、不明な送信者からのリンクをクリックせず、信頼性の低いサイトで見つけたアプリをサイドロードしないようにすれば、安全を確保できるはずです。
Google ニュースで Tom's Guideをフォローすると、最新のニュース、ハウツー、レビューをフィードで受け取ることができます。「フォロー」ボタンを忘れずにクリックしてください。
Tom's Guideのその他の記事
- PayPalユーザーが巧妙なフィッシング詐欺の標的に — 騙されないように
- Plexユーザーはパスワードを変更する必要がある ― 新たな侵害発生
- 危険な情報窃盗マルウェアを拡散する「クラックされた」アプリの攻撃を受けるMac
アンソニー・スパダフォーラは、Tom's Guideのセキュリティとホームオフィス家具担当編集長を務めています。データ侵害からパスワードマネージャー、そして自宅や職場全体をWi-Fiでカバーする最適な方法まで、あらゆる情報を網羅しています。また、スタンディングデスク、オフィスチェア、その他のホームオフィスアクセサリーのレビューも行っており、デスクのセットアップにも精通しています。チームに加わる前は、韓国在住時にITProPortalに、米国帰国後はTechRadar Proに寄稿していました。テキサス州ヒューストンを拠点とし、執筆活動以外の時間は、PCやゲーム機をいじったり、ケーブルを管理したり、スマートホームをアップグレードしたりしています。
