Mamont Spy Banker

ほぼこもセキュリティニュース By Terilogy Worx

Mamont Spy Bankerは、名前の通りインフォスティーラー型マルウェアです。
どのようなものなのでしょうか。

  • ターゲット環境
    狙いの環境はAndroidです。

     

  • ChromeのようなGoogle Chrome
    仕掛けられたMamont Spy Bankerは、見た目は通常のAndroid上のアプリとして表示されます。
    アイコンはChromeにそっくりです。
    本物のChromeのアプリの名前は「Chrome」です。
    しかし、Mamont Spy Bankerの表示される名前は「Google Chrome」です。
    そのAndroid端末にアプリをたくさんインストールしている人の場合、元のChromeと偽のChromeがアプリの一覧で遠くに表示されるかもしれません。
    そのとき、この偽のChromeがすぐに偽のアプリであると気が付くことができるでしょうか。

     

  • 権限の要求
    利用者は本物のChromeだと思って、偽のChromeを実行します。
    実行すると、いつもとは違って権限を要求されます。
    アプリによっては、バージョンアップしたような場合に権限が変化することもあります。
    この偽のChromeは、電話をかける権限とSMSメッセージを送受信する権限の付与を依頼します。

     

  • 当選おめでとうございます
    その後、偽アプリは賞金を獲得したと画面に表示します。
    そして賞金の受け取りのために、いくつかの情報の入力を促します。
    電話番号、クレジットカード番号が要求されます。
    そして、24時間はアプリを削除しないように指示する旨を表示します。

     

  • 情報収集
    マルウェアは情報を収集します。
    SMSの送受信の権限を取得しましたので、SMSを見ることができます。
    送受信内容の中にPayPalやWebMoneyなどの金融サービスプロバイダーの情報が含まれているかを確認します。
    欲しい情報が含まれていたSMSメッセージは、攻撃者のTelegramに送信されます。
    その後もSMSの監視は継続され、同じような条件に適合するメッセージは持ち出されます。

金融機関などのアプリの利用のシーンで、二要素認証が利用されることは一般的になっています。
このマルウェアはSMSを利用できますので、そういったシーンでやり取りされる認証情報を得ることができてしまいます。
金融機関のサービスを利用しようとして、SMSで入手した認証情報を入力したらエラーになってしまった、となった場合、通常は単に入力を誤ったのかもしれないと思うと思います。
しかし、もしかしたら、なんらかのマルウェアがその情報を先に利用してしまったために、すでに利用ができない状態になっていたということになってしまっているかもしれません。

このマルウェアは特別なものではありません。
類似のものは、すでに観測されています。
このようなものがあるのだということを認識し、注意することが必要です。

参考記事(外部リンク):Android: Banking trojan masquerading as Chrome
www.gdatasoftware.com/blog/2024/04/37891-mamont-spy-banker-android

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。