Crocodilusは、インフォスティーラー型マルウェアです。
以前から活動が観測されていますが、現在も改変が継続しています。
最近の様子を見てみましょう。
- トルコだけじゃない
活動範囲の拡張が確認されています。
以前のCrocodilusは、トルコで確認されていましたが、その後活動範囲を拡大し、現時点では、米国、スペイン、アルゼンチン、ブラジル、インドネシア、インドなどといったように、世界に広く蔓延し始めています。 - 装う姿のバリエーション
このマルウェアは別のアプリを装って入手させようとします。
オンラインカジノにみえるアプリだったこともありますし、ブラウザのアップデートを装っていたこともありました。
最近は、銀行やeコマースプラットフォームのアプリを模倣したものを配布しています。
いかにして自然に入手させるかという点を考えて配布されているようです。 - 高度化する難読化
従来から難読化が施された状態で配布されていましたが、その難読化が高度化してきています。
ドロッパーとペイロードの部分に分割して実装されているのですが、その両方の部分がパッカーで難読化されています。
また、ペイロードの解析の困難さの向上のために、Crocodilusの本体部分は配布時にはXOR暗号化が実施されています。
復号化したとしても、そのコード部分は入り組んだ機構となるように実装されていて、機構を解釈することが難しい実装状態になっています。 - ソーシャルエンジニアリング補助機能
ソーシャルエンジニアリングを成り立たせやすくする機能を持っています。
脅威アクターはマルウェアを感染させた後、その被害端末の保持者に電話をかけてきて、そそのかそうとします。
ふつう知らない人から電話があると身構えるものですが、この点に関しても抜かりがありません。
電話をかける前処理として、マルウェアはそのAndroid端末の連絡先一覧に銀行サポートと解釈できるような名称で脅威アクターの発信者電話番号をあらかじめ登録しておくのです。
これにより、脅威アクターからの電話を受信した人は、その電話が銀行サポートからのものであるかのように見えるのです。
落ち着いて考えると、電話番号をそんな風に登録した記憶はないはずなのですが、この行為は電話の怪しさを一瞬かもしれませんが、減少させる効果を狙ったものなのでしょう。 - 暗号資産アプリ向けの機能の追加
従来からCrocodilusはインフォスティーラーなのですが、最近、その機能のなかの暗号資産アプリ向けの機能が拡張されてきています。
端末内の情報をマッチングする機構であるパーサが追加され、従来よりも より多くの情報を抜き取れるようになってきています。
以前は画面に表示される内容を盗み取る形式の実装だったのですが、それが端末内をスキャンする機能まで搭載した状態となりました。
Crocodilusは、インフォスティーラーであり、Android向けバンキング型トロイの木馬です。
このマルウェアは確認されてから時間が経過していますが、改変は継続されています。
アンチウイルスなどの機構で対応できる世代のものもあると思われますが、継続的に変化していく新しいものに対応できると期待することは難しいでしょう。
最後の砦は自分自身です。
自分が入手しようとしているアプリに注意するというスタンスが大事に思えます。
Crocodilus Mobile Malware: Evolving Fast, Going Global
https://www.threatfabric.com/blogs/crocodilus-mobile-malware-evolving-fast-going-global
| この記事をシェア |
|
|---|
