SharkBotまた来ています

ほぼこもセキュリティニュース By Terilogy Worx

SharkBotはAndroid環境をターゲットとしたバンキングトロイマルウェアです。
また作戦を変更して活動を継続しています。
SharkBotはアンチウイルスアプリに成りすますところから始まりました。
次に機能を減らしてみたりした段階もありました。
今度はどういう作戦でしょう。

  • ファイルマネージャー?
    今度はファイルマネージャーに成りすまします。
    防御側もいくつもの策を講じてきています。
    その策の中に、権限の制限があります。
    アンチウイルスを実施するアプリケーションにはファイルを読み込む権限は必要かもしれないけどファイルを書き込む権限は必要ないでしょ、という具合です。
    さぁ困りました、どうしましょう。
    いいこと考えました。
    アンチウイルスに成りすますのではなくファイルが書き込めるものに成ればよいのです。
    今度はファイルマネージャーが選択されました。
    ファイルマネージャーはファイルを管理するのが仕事ですからファイルを書き込む権限も必要とします。
    これでマルウェアは外部から持ってきたペイロードを書き込むことができます。
  • 検出機構の回避
    今回観測されているSharkBotはイタリアとイギリスでのみ活動する仕組みになっています。
    判定はSIMのパラメータを読み取って行われます。
    これは実際のターゲットの銀行が狙えるかという意味合いよりもアンチエミュレーターチェックとして行われていると考えられます。
    判定装置や研究者による調査の際に活動を感知されないための機構なのかもしれません。
  • 獲物判定
    マルウェアにはいくつもの銀行がターゲットとできる機構が実装されています。
    マルウェアはそれらのなかのどれかのアプリが感染環境に存在しているかを確認します。

手を変え品を変え、襲い掛かります。

参考記事(外部リンク):Android SharkBot Droppers on Google Play Underline
Platform’s Security Needs

www.bitdefender.com/blog/labs/android-sharkbot-droppers-on-google-play-underlines-platforms-security-needs/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。