mBankのセキュリティアプリを装ったアプリを媒介にして感染するAndroid環境向けのバンキングトロイが確認されています。
付けられた名前はFvncBotです。
これはどういったものなのでしょうか。
- mBankのセキュリティアプリ?
mBankは、ポーランドで立ち上げられた100%デジタルの銀行です。
歴史は古く、立ち上げ当初話題になりました。
2019年くらいでした。
今回は、そのmBankに関係すると連想させる名称のアプリが展開に利用されています。 - ユーザにインストールさせる
mBankのセキュリティアプリのようなものが始まりとなるのですが、このアプリがどのようにして侵害対象のデバイスに持ち込まれるんかについては明確には確認されていません。
SMSなどでリンクをクリックさせて持ち込まれると考えられます。
起動されたmBankのセキュリティアプリのようなものは、mBankの提供する仕組みとよく似た配色や画面要素を伴っていかにもそれっぽい表示を提供します。
そして画面に「コンポーネントのインストール」とか「アクティブ化」とかいった意味合いのボタンを表示し、これを端末使用者にタップさせます。
このような操作を経て悪意ある要素を配置することで、端末上のセキュリティ保護をかいくぐるような構造になっています。 - apk0day
apk0dayは、マルウェアの実行可能ファイルの難読化し、セキュリティソフトウェアによる検出を困難にします。
このマルウェアは、Golden Cryptと呼ばれる脅威アクターの提供するapk0dayを使って難読化されて届けられます。 - リアルタイム監視
感染が完了したAndroidデバイスは、脅威アクターに監視された状態となります。
マルウェアの機能として展開されたAndroidのMediaProjection APIを悪用するモジュールにより、端末の画面がストリーミングされた状態となります。
脅威アクターは被害者の端末の画面を確認しながらコマンドを送信するなどして侵害行為を進めることが可能となります。 - 豊富な機能
操作機能も充実しています。
スワイプ、クリック、スクロールなどの画面操作が可能です。
インストールされているアプリケーションのリストを取得し、標的のアプリケーションを探し出します。
標的のアプリケーションが決まると、それの起動にあわせてオーバーレイして操作中に実施される内容を抜き取ることができる状態にします。
アクセシビリティサービスを悪用したキーストローク取得機能も実装されています。
こういった機能やHVNCなどの機能を駆使し、侵害した端末上で金融詐欺を成功させます。
現在確認されているFvncBotの様子はこういったものでした。
mBankの公開Webサイトには、公式のアプリストア以外からはアプリを入手しないでください、と記載されています。
しかし実際にはそれを重要なことであると認識していない人が多いということでしょうか、感染の事例が後を絶ちません。
たったこれだけ、このくらいいいだろう、そういった軽く考えた些細な行動が、悲しい事例へと繋がります。
小さな注意かもしれませんが、継続して意識して、残念なことにならないようにしていきたいです。
New FvncBot Android banking trojan targets Poland
https://www.intel471.com/blog/new-fvncbot-android-banking-trojan-targets-poland
| この記事をシェア |
|
|---|
