Android版バンキング型トロイの木馬SpyLockerが、ヨーロッパのさらに多くの銀行をターゲットに

Android版バンキング型トロイの木馬SpyLocker(英文)が発見されてから、Intel Securityではこの脅威を注意深く監視してきました。SpyLockerは、最初はAdobe Flash Playerを騙る偽アプリケーションとして登場し、オーストラリア、ニュージーランド、トルコの銀行の顧客をターゲットにしていました。最近、私たちはこのマルウェアが配布方法を変えていることに気づきました。サイバー犯罪者は、Flash Playerの新バージョン配布を騙る不正ウェブサイトに加えて、ハッキングされたサイト(WordPressやJoomlaを含む)を使用し、このマルウェアを「ポルノ再生ソフト」として配布しています。

01_spylocker_infectedwebsite_porn_4

ユーザーがウェブサイトにアクセスすると、即座に以下のファイルがダウンロードされます。

02_spylocker_pornvideodownloaded3_2

マルウェアが仕込まれたサイトのPornDroidというテーマと、pornvideo.apkというファイル名には、見覚えがあります。この配布方法は、2014年末に登場したAndroid版ランサムウェアPolice Locker(英文)が採用していた手法に非常によく似ています。ひょっとしてPolice LockerとSpyLockerは関連があるということなのでしょうか。そこで私たちは、両方のマルウェアの古いサンプルを調べてみることにしました。調査の結果、両者を結びつけるカギと思われるものが見つかりました。

これらのサンプルは、目的こそ異なりますが(ランサムウェアとバンキング型トロイの木馬)、両者には類似点があり、そこから、ランサムウェアの作成者が、ある時点で関心の対象をネットバンキングのユーザーにシフトさせたことがうかがえます。たとえば、いずれのサンプルでも、2つのレシーバーで同一のインテントフィルターと同一のクラス名が使われています。

03_spylocker_gc_service1024x211_4

2つのサンプルでは、これらのレシーバー以外にも、Autorun、AdminService、DeviceAdminCheckerなど、さらに多くのクラスが共通して使用されています。

04_spylocker_commonclasses_2

SpyLockerは、ハッキングされたウェブサイトによる配布方法に加えて、アダルトサイトを使用してユーザーを引きつけ、マルウェアの自動ダウンロードを動作させようとしています。

05_spylocker_avitoi169x300_2

ダウンロードされたファイルのファイル名がpornvideo.apkであっても、インストールされると、見た目は(オリジナル版と同様に)Flash Playerアプリのように見えます。

06b_spylocker_flashplayericon_2

または、最近では「アップデート版」を謳っています。

07b_updateicon

アプリが実行されると即座にアイコンがホームランチャーから消えて、マルウェアがデバイスの管理者権限を要求しつづけ、これによってマルウェアを削除しにくくします。

08_spylocker_devadmin_7

ユーザーがアプリのデバイス管理者権限を非アクティブ化しようとしても、マルウェアはデバイスをロックして以下の画面を表示し、ユーザーが画面の背後にある非アクティブ化ボタンを押せないようにします。

09_spylocker_adminlock177x300_3

SpyLockerは、元々オーストラリア、ニュージーランド、トルコの銀行をターゲットにしていましたが、現在ではその他のヨーロッパ諸国でも、バンキングアプリや金融アプリが起動されるのを監視し、フィッシング目的のオーバーレイを表示してバンキングサービスの認証情報を詐取しようとします。以下に示すのは、ポーランドの銀行をターゲットにしたオーバーレイの例です。

10_spylocker_polishbanks1024x737_2

フランスのユーザーも、最近登場したSpyLockerの亜種のターゲットになっています。

11_spylocker_frenchbanks1024x668_2

英国の銀行をターゲットにした亜種では、また別の、より完成度の高いフィッシングオーバーレイが見つかりました。

12_spylocker_uk_scotland1024x535_2

SpyLockerの最近の亜種では、リモートサーバーからフィッシングオーバーレイを表示する代わりに、アプリ本体にオーバーレイが実装されています。これはおそらく、リモートサーバーが利用できない場合に被害者のデバイスをロックしないようにするためでしょう。実装されたオーバーレイから、私たちはイタリアの銀行をターゲットにする計画があることを発見しました。ただし、これまで私たちが発見した亜種にはオーバーレイインターフェースは実装されていません。一方、ロシアの銀行をターゲットにしたオーバーレイインターフェースはすでに実装されていますが、ターゲットの銀行のリストにパッケージ名が含まれていないため、現時点では使用されていません。しかし、新しい亜種にいつ搭載されてもおかしくありません。

またSpyLockerは、Googleをはじめ、InstagramやeBayなどの人気の高いアプリについてもその実行を監視し、Googleをターゲットにしたフィッシングオーバーレイを表示します。その目的は、Googleアカウントの電子メールアドレスやパスワードを取得することだけではありません。

13_spylocker_googlephishing_valitat

現在では、オーバーレイ・ユーザー・インターフェースの各フィールドの入力内容が検証される仕組みになっています。被害者が情報を入力しないか、入力した情報が不正確な場合は(クレジットカードであれば、アルゴリズムによって番号が正しいことを確認します)、オーバーレイはスキップできません。このようにして、被害者が正しい情報を入力するまでデバイスを乗っ取り続けます。クレジットカード番号のフィールドでは、カードの種類を検証し、それに続いて電子取引に必要な認証の第2要素を取得するためのもう1つのフィールドを表示します。

14_spylocker_2fa_phishing206x300

SpyLockerはフィッシング機能を持つだけではなく、常に暗号化データをリモートサーバーに送信します。

15_spylocker_first_communication

この暗号化データはJSON(JavaScript Object Notation)形式で記述され、感染したデバイスの現在の状態を報告します。

16_spylocker_report

データには、デバイス情報、デフォルトのSMSアプリ、マルウェアがデバイス管理者権限をアクティブにしているか、現在ロックされているか、デバイスにターゲットとする銀行のアプリがインストールされているか、受信したSMSの傍受が有効化されているか(smsgrab)、デバイスのルート権限が取得されているか、といった情報が含まれます。また、この同じデータ形式を用いて、受信ボックス(inboxmessage)のSMSメッセージ、送信済みのSMSメッセージ(sentmessage)、通話履歴(callhistory)、インストール済みのアプリ(instapps)をリモートサーバーに漏洩することもできます。

17_spylocker_instappsdecrypted

SpyLockerなどのAndroid版バンキング型トロイの木馬は、常に進化しています。新しいターゲットや配布方法を追加し、フィッシングの手口を改良して、詐欺的な電子取引を可能にするために、さらに多くのデータを取得しようとしています。この脅威から身を守るために、モバイル端末にセキュリティソフトウェアを導入してください。また、Androidのアップデートは、ウェブサイトへの訪問時に自動的にダウンロードされるAPKファイルによって配布されることはないということを覚えておいてください。さらに、未知の提供元からダウンロードしたアプリケーションは信用するべきではありません。

マカフィーモバイルセキュリティは、Android/SpyLockerのようなAndroidをターゲットにした脅威を検出し、感染している場合はモバイルユーザーに警告する一方、データ損失を防止します。マカフィーモバイルセキュリティの詳細については、以下のサイトを参照してください。http://www.mcafeemobilesecurity.com(日本語)

ターゲットとなっている金融アプリのパッケージ名

トルコ

  • com.akbank.softotp
  • com.akbank.android.apps.akbank_direkt_tablet
  • com.akbank.android.apps.akbank_direkt
  • com.teb
  • com.ziraat.ziraatmobil
  • com.tmobtech.halkbank
  • com.pozitron.iscep
  • com.garanti.cepsubesi
  • com.ykb.android
  • finansbank.enpara
  • com.finansbank.mobile.cepsube

ポーランド

  • eu.eleader.mobilebanking.pekao
  • eu.eleader.mobilebanking.pekao.firm
  • hr.asseco.android.mtoken.pekao
  • eu.eleader.mobilebanking.raiffeisen
  • pl.pkobp.iko
  • pl.mbank
  • pl.ing.ingmobile
  • com.comarch.mobile
  • com.getingroup.mobilebanking
  • pl.bzwbk.bzwbk24
  • wit.android.bcpBankingApp.millenniumPL

オーストラリア

  • au.com.nab.mobile
  • com.commbank.netbank
  • com.cba.android.netbank
  • org.stgeorge.bank
  • org.banking.tablet.stgeorge
  • au.com.bankwest.mobile
  • com.bendigobank.mobile
  • org.westpac.bank
  • au.com.mebank.banking
  • com.anz.android.gomoney

ニュージーランド

  • nz.co.anz.android.mobilebanking
  • nz.co.asb.asbmobile
  • nz.co.bnz.droidbanking
  • nz.co.kiwibank.mobile
  • nz.co.westpac

フランス

  • net.bnpparibas.mescomptes
  • fr.lcl.android.customerarea
  • fr.laposte.lapostemobile
  • fr.creditagricole.androidapp
  • fr.banquepopulaire.cyberplus
  • com.cm_prod.bad
  • com.caisseepargne.android.mobilebanking

ロシア

  • ru.sberbankmobile
  • ru.vtb24.mobilebanking.android
  • ru.alfabank.mobile.android
  • com.idamob.tinkoff.android
  • ru.bpc.mobilebank.android
  • ru.bankuralsib.mb.android

英国

  • com.barclays.android.barclaysmobilebanking
  • uk.co.santander.santanderUK
  • com.rbs.mobile.android.natwest

ターゲットとなっているアプリ

  • com.android.vending
  • com.google.android.music
  • com.google.android.apps.plus
  • com.android.chrome
  • com.google.android.apps.maps
  • com.google.android.youtube
  • com.google.android.apps.photos
  • com.google.android.apps.books
  • com.google.android.apps.docs
  • com.google.android.apps.docs.editors.docs
  • com.google.android.videos
  • com.google.android.gm
  • com.whatsapp
  • com.skype.raider
  • com.google.android.play.games
  • com.paypal.android.p2pmobile
  • com.ebay.mobile
  • com.instagram.android
  • com.instagram.layout


※本ページの内容は2016年5月26日更新のMcAfee Blog の抄訳です。
原文: Android Banking Trojan ‘SpyLocker’ Targets More Banks in Europe
著者: Carlos Castillo(mobile malware researcher)

【関連情報】