バンキングトロイにはいくつかの有名なものがあります。
Flubot、Teabotなどが有名ですが、SharkBotは新しい実装のようでこれらの派生したものではなさそうです。
こんな感じです。
- アンチウイルスアプリとしてGooglePlayストアで配布されている
ユーザにアンチウイルスの目的で選択させ、自分のAndroidにインストールさせます。
ユーザに操作させるのはこの部分のみです。 - インストールされたアンチウイルスアプリにはライト版のSharkBotが含まれている
- ライト版にはダイレクトリプライ機能がある
ダイレクトリプライ機能は受信したSMSにマルウェアが自動で応答できる機能です。
この機能はFlubotで見られた機能ですが、SharkBotにも実装されています。 - 自動転送機能がある
これによりライト版はフル版のSharkBotをAndroidにインストールします。 - C2とは平文のようなもので通信する
C2との間はHTTPが使われます。
通信プロトコルとしては平文です。
しかしやり取りする文字列はRC4を使って暗号化されています。
暗号化されたキーと暗号化されたデータをやり取りし、ペイロードを入手します。 - C2サーバのバックアッププランがある
C2のドメインはハードコードされています。
しかしC2が利用できない場合に備えてドメイン生成機構を持っています。 - 自動送金機能がある
ユーザやマルウェアのオペレータの手動操作を必要としない、送金機構を備えています。
このマルウェアは利用者の認証情報を取得して自分の手元でお金を操作するような方法はとりません。
そのAndroid端末の正規のバンキングアプリを勝手に操作して、自動で送金を行います。
感染したAndroid端末の外側で見る限りにおいて、正規の利用者が正規の手順で送金をしているものと区別できません。
SMSを操作する機構も持っているため、このマルウェアに対して考える場合2要素認証が安全性の向上に役に立つかは怪しいです。
まさしく手元に入ってしまうと終わりの危険なマルウェアといえそうです。
こういったものにどのように対抗していけるでしょう。
なるべく厳選したアプリだけを使うということでしょうか。
アプリは正規のものを使うということも意識する必要がありそうです。
常に最新の状態に保つことも重要ですよね。
それだけで対応できるのか不安が残りますが、できることを着実に継続的に実施するということで進めていくほかなさそうです。
参考記事(外部リンク):SharkBot: a “new” generation Android banking Trojan being
distributed on Google Play Store
research.nccgroup.com/2022/03/03/sharkbot-a-new-generation-android-banking-trojan-being-distributed-on-google-play-store/
この記事をシェア |
---|