ポーランドの銀行ユーザを狙うフィッシングメールがAndroidマルウェア「SandroRAT」を拡散

ヨーロッパは今、Android端末を乗っ取ろうとするスパム犯罪者の攻撃にさらされています。ポーランドでは現在、Androidのリモートアクセスツール(RAT)の新しい亜種を拡散するためのEメールによるスパム活動が行われているようです。

先のブログ「ドイツでAndroidマルウェア配信を狙うSMSスパム攻撃」で報告したように、ドイツではSMS(Short Message Service)スパムがAndroidマルウェア配信手段として用いられていましたが、McAfee Labsはまた最近、ポーランドの顧客から「Kaspersky_Mobile_Security.apk」という名前の新しいAndroidマルウェアのサンプルを受け取りました。それは、以下のようなフィッシングメールの添付ファイルとして配布されていたものです:

Castillo_sandroratspam

画像ソース: Zaufana Trzecia Strona

このフィッシングメールは、以下の件名を用いてユーザを驚かせようとしています:

“Uwaga! Wykryto Szkodliwe Oprogramowanie w Twoim telefonie!”

(“警告!あなたの電話でマルウェアが検出されました!)

メール本文では、電子取引の認証用のSMSコード (mTAN)を盗むマルウェアを検出するための無償モバイルセキュリティアプリ(メールの添付ファイル)を銀行が提供している旨が記載されています。しかし実際には、この添付アプリは「AndroRAT」の亜種である「SandroRAT」です。このアプリは、昨年末にハッキングコミュニティ「HackForums」で発表されたものです。このリモートアクセスツール (RAT)とそのソースコードは販売されていて、誰でもこの脅威のカスタムバージョンを作成することができるようになっています。

AndroRATのような他のAndroid RATアプリと同様に、このマルウェアによって攻撃者はいくつかのコマンドを遠隔実行し、次のような処理を端末上で行うことができます:

  • 連絡先リスト、SMSメッセージ(受信、送信、送信済み)、通話履歴(着信、発信、不在着信)、Web閲覧履歴(タイトル、リンク、日付)とブックマーク、GPS位置情報(経度、緯度)といった個人情報を盗む
  • 音声着信を傍受し、SDカード上のWAVファイルとして録音した後、外部送信する
  • “update.apk”をダウンロードしてユーザにインストールを促し、自分自身の更新や追加のマルウェアインストールを行う
  • 受信SMSの傍受やブロックを行い、メッセージを盗む
  • 指令サーバから受け取ったパラメータ(電話番号、テキスト)を用いてMMSメッセージを送信する
  • SMSメッセージや連絡先を追加したり削除したりする
  • 周辺の音声をSDカード上のAMRファイルとして録音した後、外部送信する
  • 指示された電話番号宛に電話をかけたり、USSD(Unstructured Supplementary Service Data)コードを実行したりする
  • 端末上にトースト(ポップアップ)メッセージを表示する

この脅威の目新しい機能として、暗号化されたWhatsAppチャットデータ(SDカード上のファイルパス /WhatsApp/Databases/msgstore.db.crypt5 に存在)にアクセスし、端末のGoogleアカウントを用いて固有の暗号化キーを取得、チャットデータを復号化してファイルwaddb.srとして保存する機能が追加されています。

Castillo_decryptwhatsapp

この復号化ルーチンはWhatsAppの最新バージョンで暗号化されたチャットデータに対しては機能しません。暗号化スキーム(crypt7)が固有のサーバーソルト(salt)より強力なものに更新されたためです。WhatsAppユーザはアプリを最新バージョンに更新すべきです。

スパム攻撃(SMSおよびEメール)はAndroidマルウェアの配信方法として非常によく用いられる手段になってきています。これらのAndroidマルウェアは、SandroRATのように個人情報を盗んだり端末を完全に乗っ取ったりする能力を持っています。皮肉なことに、正規の銀行各社がバンキングマルウェアに対する自身のセキュリティソリューションを提供し始めたことにより、ユーザは今回のような攻撃に非常に騙されやすくなると言えるでしょう。

McAfee Mobile SecurityはこのAndroidマルウェアを検出・警告し、ユーザをデータ被害から保護します。

※本ページの内容はMcAfee Blogの抄訳です。

原文: Android App SandroRAT Targets Polish Banking Users via Phishing Email

著者: Carlos Castillo(Mobile Malware Researcher)

関連記事