TrickMoは、Android向けのバンキングマルウェアです。
TrickMoは新しいマルウェアではなく古くは2019年から観測されています。
そんなTrickMoの、最近のバージョンでは、TONを使うことが確認されました。
TONは、The Open Networkのことで、メッセージングアプリのTelegramとシームレスに統合された、高速・低コストな分散型レイヤー1ブロックチェーンです。
分散型レイヤー1ブロックチェーンを一言でいうと、「他のネットワークに頼らず、自分自身でセキュリティと取引の記録を完結させる、独立した基盤となるネットワーク」のことです。
身近な例えで言うと、「独自のルールと管理システムを持つ、道路そのもの(インフラ)」のようなイメージです。
重要なポイントは以下の2つです。
- レイヤー1である
ブロックチェーンには階層構造があり、その最も基礎となる層をレイヤー1と呼びます。
このタイプでは、取引の検証、記録、セキュリティの確保をすべて自分たちのネットワーク上で行います。 - 分散型である
特定の企業や国が管理するのではなく、世界中に散らばった多数のコンピューターが共同で管理している状態として構成されるため、分散型であることが、誰にも取引を止められず(検閲耐性)、データが改ざんされにくい高い透明性があるものとなります。
このような強固な特性を持つインフラは、そのうえで構築されるシステムを安定したものとすることができます。
このインフラはその上のシステムが正しく機能するための土台だからです。土台がしっかり(高速・安全)していないと、その上のサービスも安定しません。
こういった特性を持つTONを足回りにするマルウェアが登場したのです。
その例が、TrickMoです。
次のような特徴があります。
- .ADNLアドレスを使用する
.ADNLアドレスは、TON上におけるエンドポイントの識別子です。
通常のInternetでは、FQDN(Fully Qualified Domain Name)、いわゆるドメイン名を使って接続先を解決して通信を行います。
このため脅威活動で使用されるFQDNを特定しそのシステムをテイクダウンすることで脅威活動を制限することができます。
しかしTONの上で動作し、接続先がドメイン名でなく、通信そのものも暗号化されているという環境で脅威活動が行われる場合、事実上テイクダウンは実施できる見通しが立ちません。
ネットワークエッジにおけるトラフィックパターン検出では、暗号化されたTONトラフィックのみが検出され、他のTON対応アプリケーションの送信フローと区別することはできません。 - モジュール型マルウェアである
TrickMoは、2段階設計のモジュール型マルウェアです。
ホストAPKはローダーおよび永続化レイヤーとして機能し、実行時にダウンロードされるAPKモジュールは攻撃機能を実装します。
TrickMoは、フィッシングオーバーレイを介して銀行口座の認証情報を標的とし、キーロギング、画面録画、ライブ画面ストリーミング、SMS傍受、OTP通知の抑制、クリップボードの変更、通知のフィルタリング、スクリーンショットの取得などを実行します。
これらの機能性を使い、バンキングトロイとして脅威活動を行います。
最近のTrickMoは、TikTokやストリーミングアプリを装って利用者に忍び寄ります。
魅力的に見える情報の中のリンクからアプリを入手して手元の端末にインストールしたら、それがTrickMoとなった、というようなことになります。
Google Playからのみソフトウェアをダウンロードする、Play Protectが常に有効になっているようにする、といった基本対策だけで脅威がカバーできるかはわかりませんが、少なくともこういった取り組みは重要だと思えます。
New TrickMo Variant: Device Take Over malware targeting Banking, Fintech, Wallet & Auth apps
https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app
| この記事をシェア |
|
|---|
