Crocodilusは、デバイス乗っ取り型バンキング型マルウェアです。
金融情報を狙うマルウェアで巧妙に情報を取得しようと動作します。
一方で機能面を見ると、リモートアクセストロイとしての機能も十分に搭載しています。
どのようなものなのでしょうか。
- 始まりはドロッパー
このマルウェアはドロッパーの配布から開始されます。
このドロッパーには、Android13以降に搭載されているアプリの制限付き設定を回避できる機能を搭載しています。
Google Playなどの公式のストア以外から入手されたアプリケーションには制限が設定されるように動作する機構なのですが、これが回避されてしまうため、サイドロードされたアプリケーションが通常に動作してしまう状態になります。
ドロッパーによって、Crocodilusは持ち込まれました。 - アクセシビリティサービスの有効化
マルウェアは次に活動準備を開始します。
まずはアクセシビリティサービスの有効化です。
ユーザに設定変更を実施できる画面を表示し、設定変更を促します。
ユーザが設定変更に応じると次の段階に進みます。 - 活動の開始
ここまでくると下準備は完了です。
マルウェアの本体部分の活動が始まります。
C2に接続し。標的とするアプリケーションの一覧やオーバーレイに関する情報を取得します。
そしてマルウェアは監視状態に入ります。 - 高機能なキーロガー
Crocodilusに搭載されているキーロガーは、単なるキーロガーではありません。
利用者が機器に入力する文字を取得できることはもちろん、画面に表示される文字の変化を取得することができる機能を搭載しています。
この怖い悪用例は、Google Authenticatorの表示情報取得です。
Google Authenticatorには連携設定済みのアプリケーションで利用できるワンタイムパスワードが順次表示されていきますが、脅威アクターはこの機能を利用することでこの次々に変化していく各種ワンタイムパスワードを取得することができます。
アクセシビリティサービスが有効化された状態でのこのキーロガーの恐ろしい使われ方です。 - シードフレーズの取得
金融アプリケーションの一つのジャンルに暗号資産関係のアプリケーションがあります。
これらのアプリケーションでは安全性のためにさまざまな機構が搭載されていますが、その重要な一つにシードフレーズというものがあります。
シードフレーズは、秘密鍵を忘れた場合に秘密鍵を思い出すとか回復するために使用できる秘密のコードです。
これがあると操作者は暗号資産ウォレットを自由に操作できるようになります。
このマルウェアは標的の暗号資産アプリが起動されると画面にオーバーレイでメッセージを表示します。
「12 時間以内に設定でウォレット キーをバックアップしてください。そうしないと、アプリがリセットされ、ウォレットにアクセスできなくなる可能性があります。」という内容です。
操作者はびっくりして指示に従ってしまうかもしれません。
操作者が指示に従って入力を実施すると、その内容はキーロガー機能によって脅威アクターに取得されてしまいます。 - 脅威アクターによる自由な操作
マルウェアが提供する脅威アクターへの操作機能も多岐にわたります。
黒いオーバーレイを表示して、操作音をミュートできます。
これによって脅威アクターが操作していることを感じさせなくできます。
管理者権限を入手でき、画面ロックを解除でき、SMSを操作できます。
画面をタップすることができ、スワイプ操作することも可能です。
ロックしているように見える画面の向こう側で、脅威アクターは自由に端末を操作できるのです。
入手したアプリの各種秘密情報を使うことで、脅威アクターは暗号資産アプリからすべての資産を別の場所に移してしまうことが可能です。
Crocodilusは危険なマルウェアです。
配布経路は変化していく可能性がありますが、現状では、通常の悪意あるWebサイト、ソーシャルメディアやSMS上の偽のプロモーション、サードパーティのアプリストアなどを通じてばらまかれています。
公式のアプリストアだから安全ということではありませんが、少なくとも公式のアプリストアでない場所からのアプリの入手には気をつけたいですね。
Exposing Crocodilus: New Device Takeover Malware Targeting Android Devices
https://www.threatfabric.com/blogs/exposing-crocodilus-new-device-takeover-malware-targeting-android-devices
| この記事をシェア |
|
|---|
