Sturnusは、Android環境用のバンキング型トロイの木馬です。
高度に実現された各種機能により、いろいろな情報を取得できるようになっています。
いくつか特徴的な部分を見てみましょう。
- 消せない
Sturnusは管理権限を取得した状態で動作します。
パスワードの変更やロック解除の試行を追跡し、デバイスをリモートでロックできるようになります。
そしてユーザがSturnusの権限を削除したり、デバイスからアンインストールしたりすることを阻止しようとします。
ユーザが管理者権限を無効にできる設定画面に移動するたびに、マルウェアはアクセシビリティ監視を通じてその試みを検知し、関連するコントロールを識別し、自動的にそのページから移動してユーザの操作を中断してしまうのです。
Sturnusの管理権限が手動で取り消されるまで、通常のアンインストールとADBなどのツールによる削除はブロックされる動作を実施できます。
このマルウェアはクリーンアップの試みに対して強力な保護を持っているといえます。 - 暗号化されたメッセージも平文で読める
Android機器上に展開が完了したSturnusは、WhatsApp、Telegram、Signalを介した通信を監視できます。
これらのアプリは通信経路上ではやり取りされるメッセージを暗号化して通信するような動作を行うことができます。
しかしSturnusにとっては関係ありません。
Sturnusは復号化を完了して画面に表示されている内容をそのまま取得することができるため、Sturnus自身が暗号通信を解析する必要なくそのメッセージを取得することができるようになっています。
暗号通信で安全になったアプリを使っていても、Sturnusのある環境ではその会話は安全ではありません。 - こっそり活動できる
SturnusはAndroidの端末所有者に隠れてこっそり活動することができます。
黒いオーバーレイを有効化し所有者から活動を隠します。
そしてマルウェアの持つVNC機能を開始し、すべての操作が可能な状態になります。
ボタンをクリックしたり、テキストを入力したり、スクロールしたり、電話の OS やアプリを操作したりできます。
この機能を悪用し、銀行アプリからの送金、ダイアログの確認、多要素認証画面の承認、設定の変更、新しいアプリのインストールなどを実施しようとします。
表示されるオーバーレイは単に真っ黒なのではなく、偽のAndroidシステムアップデート画面を装ってバックグラウンドで実行されている悪意のあるアクションを隠すようになっている例も確認されています。
Sturnusはまだ開発が継続されているようです。
そして現時点では、公式のアプリストアであるGoogle Playでの拡散はまだ開始されていないようです。
公式のアプリストア以外からアプリを入手しない、Play Protectなどの保護機構をアクティブでない状態にしない、不用意にアクセシビリティの権限を付与しない、といったことを心掛け、被害者とならないように注意していきましょう。
Sturnus: Mobile Banking Malware bypassing WhatsApp, Telegram and Signal Encryption
https://www.threatfabric.com/blogs/sturnus-banking-trojan-bypassing-whatsapp-telegram-and-signal
| この記事をシェア |
|
|---|
