WebAPKとNGateという2つのマルウェアを連携して使用する攻撃行為が観測されています。
この攻撃には新たに注意が必要な点が含まれています。
流れを見てみましょう。
- 納税申告に関するSMSを受信する
納税申告に関するSMSが被害者のAndroid端末に受信されます。
そこにはリンクが含まれていました。 - リンクからアプリをインストールする
リンクをクリックするとアプリをインストールすることを承諾させるダイアログが表示されます。
Google Playストアが表示されるのではなく、直接偽の銀行のWebサイトのなかでアプリのインストールを促されたように見えます。
このサイトを閲覧している人がこの銀行サイトを偽サイトだと思ってない場合、このアプリのインストールを許可するでしょう。 - アプリで銀行のシステムに接続する
被害者はインストールした悪意あるアプリで銀行の正規のシステムにログインします。
そこでは正規の認証情報を入力しています。
この情報は攻撃者に把握されてしまいます。 - 攻撃者が電話する
攻撃者は銀行員を装って被害者に電話をかけました。
そして言うのです、あなたはおそらく以前のテキストメッセージが原因で、アカウントが侵害されました、と。 - 被害者は驚いて対応を開始する
被害者はまだこの時点では現実的な被害を被っていませんが、それはこれから始まります。
偽の銀行員は、資金を「保護」するために、被害者は PIN を変更し、モバイル アプリ (NGateマルウェア) を使用して銀行カードを認証するよう要求しました。
そして、偽の銀行員はNGateをダウンロードするためのリンクをSMSで被害者に送信しました。
被害者はNGateアプリ内で古いPINを入力して新しいPINを作成し、カードをスマートフォンの背面に置いて変更を認証または適用しました。
いったい何が起こったのでしょう。
攻撃者はいろいろな手を組み合わせて使用することで、被害者の各種情報を盗み出しました。
盗み出した情報には、認証情報の他に、NFCの情報も含まれています。
NGateはNFCGateを悪用するマルウェアでした。
NFCGateの持つNFCデータをあるデバイスから別のデバイスに渡す機能を悪用するマルウェアです。
この機能の悪用により、攻撃者は被害者のNFCの情報を攻撃者自身のデバイスに仕込み、攻撃者のデバイスがあたかも被害者のNFCデバイスであるかのように利用できるようにしたのです。
つまり、この段階で、攻撃者はNFCデバイス部分まで含めて被害者に成り済ますことができる状態になったのです。
さらに驚くべきことに、この一連の攻撃において、被害者の端末では不明なソースからのアプリのインストールを許可するかと問われるようなことは起こりませんでしたし、端末をルート化するなどのことも必要としなかったのです。
攻撃全体でルート化される必要があるのは、盗み出したNFCの情報を勝手に使用する攻撃者のデバイスのみなのです。
不明なソースからのアプリのインストールを許可しなければいいんでしょ、ルート化してしまうようなことにならなければいいんでしょ、というだけではこの脅威は防げません。
なんとかできたかもしれないタイミングは、SMSで来たメッセージのURLを開いてその指示に従ってアプリをインストールしてしまったときのみだったかもしれません。
便利なデバイスや機能はどんどん登場します。
そして、攻撃者の手口は次々に拡張され、そういった新しい便利さを悪用してきます。
どんな攻撃事例があるのかの情報を継続的に収集し、類似する手口に気が付くことができるようになるとよいですね。
NGate Android malware relays NFC traffic to steal cash
https://www.welivesecurity.com/en/eset-research/ngate-android-malware-relays-nfc-traffic-to-steal-cash/
この記事をシェア |
---|