BingoModは、トロイの木馬型マルウェアです。
ターゲット環境はAndroidです。
継続的に開発が継続されているようです。
- 入口
始まりはSMiShingです。
SMiShingはSMSフィッシングです。
携帯電話のショート・メッセージ・サービス(SMS)を悪用したフィッシング攻撃です。
正規のモバイルセキュリティツールを装って忍び寄ります。
いろいろな名前を使っていることが確認されています。
APP Protection、Antivirus Cleanup、Chrome Update、InfoWeb、SicurezzaWeb、WebSecurity、WebsInfo、WebInfo、APKAppScudoとなっています。
これらはBingoModのバージョンが変化するたびに名前を変更するような格好で使われています。 - 感染
SMSでセキュリティツールに見えるようにして送られてきた情報をタップすると、マルウェアのインストールが開始されます。
インストール中には権限が要求されます。
要求される権限は、アクセシビリティサービスです。
この権限を入手することで、このマルウェアはいろいろな活動が実施できる状態になります。
デバイス内詐欺(On-Device Fraud)の下地です。 - 目的
目的は金銭の入手です。
すでにデバイスは好きに操作することができる状態になっていますので、なんでもできます。
ログイン認証情報を盗み、スクリーンショットを撮り、SMS メッセージを傍受します。
それにとどまりません。
脅威アクターはAndroid上にVNCを展開し、C2からリアルタイムで操作できる環境も構築します。
ここまでくると、利用者と同等の操作が可能になります。
特定の領域をクリックする、指定された入力要素にテキストを書き込む、アプリケーションを起動する、といった具合です。
この操作環境を使って、金融系のアプリを操作して送金することが可能です。
アプリの限定は必要ありません。端末を自由に操作できるので、どのアプリでも操作できます。
二要素認証が有効でSMSでワンタイムパスワードがやり取りされるような方式でも、SMSまで自由に見ることができる状態なので、セキュリティも何もあったものではありません。 - ばれない仕組み
防御されることを回避することにも、力がそそがれています。
セキュリティソリューションの削除、難読化したコード、こういった取り組みで、BingoModはいくつものバージョンが確認されているのですが、バージョンを重ねる毎にセキュリティソリューションでの検知率を下げていくことができているようです。
情報や金銭を盗む活動を完了すると、脅威アクターは端末を初期化します。
これも解析されることの防御策ということなのでしょう。
BingoModの開発はまだ続いているようです。
SMiShing、要注意ですね。
BingoMod: The new android RAT that steals money and wipes data
https://www.cleafy.com/cleafy-labs/bingomod-the-new-android-rat-that-steals-money-and-wipes-data
| この記事をシェア |
|
|---|
