サイバーセキュリティ企業 ESET による最近の調査では、Android スマートフォン ユーザーを標的とした新たな攻撃キャンペーンに関する詳細が明らかにされています。
このサイバー攻撃は、複雑なソーシャルエンジニアリングの手法と新たな Android マルウェアの使用をベースとしており、ユーザーの近距離無線通信データを盗み、NFC 対応 ATM から現金を引き出すことが可能です。
脅威アクターによる継続的な技術改良
ESETの指摘によると、脅威アクターは当初、Playストア以外のあらゆるウェブサイトからアプリをインストールできるプログレッシブウェブアプリ(PWA)技術を悪用していました。この技術は、デスクトップ版のChromiumベースブラウザ、Firefox、Chrome、Edge、Opera、Safari、Orion、Samsung Internet Browserなど、サポートされているブラウザで利用できます。
ブラウザから直接アクセスするPWAは柔軟性が高く、一般的に互換性の問題は発生しません。PWAはシステムにインストールされると、小さなブラウザアイコンが追加されたアイコンで認識できます。
サイバー犯罪者は PWA を使用して、疑いを持たないユーザーをフルスクリーンのフィッシング Web サイトに誘導し、認証情報やクレジットカード情報を収集します。
このキャンペーンに関与した脅威アクターは、PWAからより高度なタイプのPWAであるWebAPKに切り替えました。その違いは微妙です。PWAはWeb技術を用いて構築されたアプリであるのに対し、WebAPKはPWAをネイティブAndroidアプリケーションとして統合する技術を使用しています。
攻撃者の観点から見ると、WebAPK を使用するとアイコンに小さなブラウザ アイコンが表示されなくなるため、よりステルス性が高まります。
被害者はフィッシングサイトからスタンドアロンアプリをダウンロードしてインストールします。第三者のウェブサイトからアプリをインストールする際に、追加の許可を求めることはありません。
こうした詐欺ウェブサイトは、多くの場合、Google Play ストアの一部を模倣して混乱を招き、インストールが実際には詐欺ウェブサイトから直接行われているにもかかわらず、実際には Play ストアから行われているとユーザーに信じ込ませます。
NGateマルウェア
3月6日、観測されたPWAおよびWebAPKのフィッシングキャンペーンで使用されていたのと同じ配信ドメインが、突如NGateと呼ばれる新たなマルウェアの拡散を開始しました。このマルウェアは、被害者のスマートフォンにインストールされ実行されると、偽のウェブサイトを開き、ユーザーの銀行情報を要求します。この情報は、脅威アクターに送信されます。
しかし、このマルウェアには、NFCGate と呼ばれるツールも埋め込まれています。これは、デバイスをルート化することなく、2 つのデバイス間で NFC データを中継できる正規のツールです。
ユーザーが銀行情報を提供すると、スマートフォンの NFC 機能を有効にし、アプリがカードを認識するまでクレジットカードをスマートフォンの背面に当てるように要求されます。
完全なソーシャルエンジニアリング
アプリで NFC を有効にして支払いカードが認識されるというのは、最初は疑わしいように思えるかもしれませんが、脅威の攻撃者が展開するソーシャル エンジニアリングの手法によって、このシナリオが説明されます。
サイバー犯罪者はユーザーにSMSメッセージを送信し、納税申告書について言及するとともに、銀行を装い悪意のあるPWAに誘導するフィッシングサイトへのリンクを記載します。アプリがインストールされ実行されると、ユーザーに銀行の認証情報を要求します。
この時点で、脅威アクターは銀行を装ってユーザーに電話をかけます。被害者は、おそらく前回のSMSが原因でアカウントが侵害されたことを知らされます。その後、銀行口座を保護するために、PINの変更とモバイルアプリを使用した銀行カード情報の確認を求められます。
その後、ユーザーは、NGate マルウェア アプリケーションへのリンクを含む新しい SMS を受信します。
アプリがインストールされると、NFC機能の有効化と、スマートフォンの背面にクレジットカードを押し当てる動作を要求します。このデータはリアルタイムで攻撃者に送信されます。
盗まれた情報で収益を得る
攻撃者が盗んだ情報によって、銀行口座から資金を引き出したり、クレジットカード情報を使用してオンラインで商品を購入したりするといった、通常の詐欺が可能になります。
しかし、サイバー攻撃者が盗んだ NFC データにより、元のクレジットカードをエミュレートし、NFC を使用する ATM から現金を引き出すことが可能となり、これはこれまで報告されていない攻撃ベクトルとなります。
攻撃範囲
ESETの調査により、チェコ共和国での攻撃が明らかになり、同国の銀行会社だけが標的にされたことが判明した。
22歳の容疑者がプラハで逮捕されました。彼は約6,000ユーロ(6,500米ドル)を所持していました。チェコ警察によると、この金は過去3人の被害者から盗んだもので、今回の攻撃キャンペーンではさらに多額の金銭が盗まれたことが示唆されています。
しかし、ESETの研究者が述べているように、「他の地域や国に拡大する可能性は排除できない」。
NFC が開発者の間でますます普及するにつれ、近い将来、さらに多くのサイバー犯罪者が同様の手法を使用して NFC 経由で金銭を盗むことが予想されます。
この脅威から身を守る方法
このサイバーキャンペーンの被害に遭わないために、ユーザーは次のことに注意する必要があります。
- ダウンロードするアプリケーションのソースを確認し、URL を慎重に調べてその正当性を確認してください。
- Google Play ストアなどの公式ソース以外からソフトウェアをダウンロードすることは避けてください。
- 決済カードのPINコードを教えるのは避けましょう。銀行がこの情報を要求することはありません。
- 従来の物理カードのデジタル版を使用します。これらの仮想カードはデバイス上に安全に保存され、生体認証などの追加のセキュリティ対策によって保護できます。
- モバイル デバイスにセキュリティ ソフトウェアをインストールして、携帯電話上のマルウェアや不要なアプリケーションを検出します。
ユーザーは、使用していないスマートフォンのNFCを無効にすることで、さらなるデータ盗難を防ぐことができます。攻撃者は、公共の場で放置された財布やリュックサックなどからカード情報を読み取ることができ、少額の非接触決済に利用される可能性があります。保護ケースを使用することで、不要なスキャンを効果的に防ぐことができます。
銀行の従業員からの電話の場合、何らかの疑問が生じた場合は、電話を切って、できれば別の電話から、通常の銀行の連絡先に電話をかけてください。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
