GodFatherは、Android環境用のバンキング型マルウェアです。
このマルウェアは新しく登場したものではないのですが、機能が更新されていることが確認されました。
いくつかの特徴を見てみましょう。
- APKのZIPファイルの改変による回避
APKファイルは、Androidアプリケーションをインストールするために使用されるファイル形式ですが、実際にはZIP形式で圧縮されたものです。
APKファイルの中には、アプリのコード、リソース、マニフェストファイルなどが含まれています。
そのZIPの形式を逆手に取り、解析を回避しようとする変更が実施されます。
1つは、パスワード付きZIPである場合に設定されるビットの設定です。
これにより、パスワード設定されたZIPであると誤解させ解析を回避します。
もう1つは、逆コンパイラが使用する追加フィールドを設定することで、解析の実施を回避しようとします。 - 多段階による権限の取得
マルウェアの設置を多段階で実施しようとします。
最初のほうの段階で設置したマルウェアが次の段階を設置しようとするのですが、その際に「アプリケーションのすべての機能を使用するには許可が必要です」という虚偽のメッセージを表示し、それに所有者が応じると、アクセシビリティの許可を要求します。
これに応じてしまうと、悪意あるアプリが活動に必要な権限を持った状態となってしまいます。 - 仮想環境にマルウェア
マルウェアの悪意ある機構部分の設置場所はAndroidの環境そのものではなく、Android環境の中に用意した仮想環境の中に置かれます。
そして、Android環境に存在するアプリの一覧を参照し、狙った銀行系アプリの存在を確認すると、その活動の監視を開始します。 - 画面ロック情報の取得
このマルウェアは画面ロックの解除方法についても取得します。
正規の画面ロックと類似した画面を表示し、そこの入力される内容を取得することで実際に画面ロックされた場合に開錠できるようになります。 - 自由な活動
ここまでくると、準備はすべて整いました。
画面ロックを解除し、画面のオーバーレイでロックが継続中であるかのように装い、画面をスワイプしたりスクロールしたりして任意のアプリを操作できます。
どんな操作をしていても、ユーザにはその操作の様子は見えませんので、やりたい放題です。
狙った金融系アプリを操作して欲しいものを取得します。
狙いのアプリは広い範囲に及びます。
グローバル決済関係、ソーシャルメディア関係、銀行関係、暗号資産関係などです。
対応するアプリの数は484種類以上です。
現在、多くの活動が観測されている地域は米国やヨーロッパなどです。
しかし、そのうち、もっと広い範囲での活動が開始されることでしょう。
あなたがインストールしようとしているそのアプリは、大丈夫ですか?
Your Mobile App, Their Playground: The Dark side of the Virtualization
https://zimperium.com/blog/your-mobile-app-their-playground-the-dark-side-of-the-virtualization
| この記事をシェア |
|
|---|
