Klopatraは、Android環境向けのRAT(リモートアクセストロイ)です。
このマルウェアは新しく観測されたもので、現時点では認識済みのいずれかの脅威アクターに関連付けられてはいません。
どんなものなのでしょうか。
- 野良アプリストアで配布
このマルウェアはすでに多くの被害者を出してしまっていますが、配布場所は正規のアプリストアではありません。
配布場所は野良アプリストアです。 - IPTV+VPN
このマルウェアは、便利ツールのように宣伝されてダウンロードを促進しています。
入手して実現できるということになっている機能は、IPTV+VPNです。
IPTVはインターネット・プロトコル・テレビジョン」の略で、従来のアンテナやケーブルではなく、インターネットに接続したIP(インターネット・プロトコル)網を通じてテレビ放送や映像コンテンツを配信するサービスです。
そしてこれとVPNを組み合わせて提供するというのです。
期待としては自分の住んでいる地域以外に限定されたコンテンツも見ることができることを期待する内容です。
ですがこのアプリを入手してしまうと、その端末はマルウェアに侵害されます。 - 豊富な解析回避機能
Klopatraには、いくつもの解析回避のための機能が搭載されています。
Java/Kotlinのフットプリントを削減する商用グレードのコードプロテクターであるVirboxを使い、NP Managerの文字列暗号化も使用します。
デバッグ防止メカニズム、ランタイム整合性チェック、エミュレータ検出機能といったものも搭載しています。 - ブラックスクリーンVNC
脅威アクターにとって非常に都合の良い機能も搭載しています。
その一つがこのブラックスクリーンVNCです。
機能の名称から想像できるように、感染したデバイスが被害者にはアイドル状態(画面がロックされている)に見える状態でも、脅威アクターがデバイス上でアクションを実行できます。
この機能が動作した状態では、脅威アクターは端末のタップ、スワイプ、長押しなど通常の銀行系アプリの操作で必要となるさまざまな操作をリモートから実行できます。
デバイスが充電中かどうか、画面がオフになっているかどうか、を検出することのできる機能も搭載していますので、所有者が利用していないと思われるタイミングにこのブラックスクリーンVNCを使用するということができます。
このマルウェアはVPN機能を有するなどのことから、インストール時に強い権限を要求する動作を行います。
それを許可しないと想像する機能が成り立たないと考えるとダウンロードした人は要求された権限を許可してしまうことでしょう。
そうすると、アクセシビリティサービスが悪用され、強い権限が付与され、セキュリティ系のアプリを無効化したりアンインストールされたりします。
そうやって準備したうえで、情報を抜き出し、金融系アプリをアイドル時に悪用されてしまうというわけです。
魅力的に見えるアプリが配布されていると知ることもあるでしょう。
しかしその配布場所が野良アプリストアの場合、踏みとどまるほうが良いでしょうね。
権限付与にも注意が必要です。
そのなかでも特にアクセシビリティサービスは注意です。
そしてPlayプロテクトは有効状態で利用するということですね。
どれも特別なことではありません。
強い誘惑には裏がある可能性があるということを思い出せれば、大丈夫、かもしれません。
Klopatra: exposing a new Android banking trojan operation with roots in Turkey
https://www.cleafy.com/cleafy-labs/klopatra-exposing-a-new-android-banking-trojan-operation-with-roots-in-turkey
| この記事をシェア |
|
|---|
