F5 Labsの研究者は、モバイルバンキングマルウェア「FluBot」を追跡していた際に、Androidスマートフォンを標的とする新たなMalibotの脅威を発見しました。Malibotには、考慮すべき重要な脅威となる多くの機能が備わっています。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
Malibot はどのように配布されますか?
現在、Malibot はサイバー犯罪者によって 2 つの異なるチャネルを通じて配布されています。
最初の配布方法はウェブ経由です。詐欺師によって「Mining X」と「TheCryptoApp」という 2 つの異なるウェブサイトが作成されました (図 Aと図 B )。
図A
図B
TheCryptoAppキャンペーンは、正規の暗号通貨トラッカーアプリを装っています。Androidスマートフォンから閲覧した場合にのみ、ユーザーが感染し、マルウェアへのリンクが表示されます。他のデバイスから閲覧した場合は、Google Playストアにある正規のTheCryptoAppアプリへの正規のリンクが表示されます。Androidユーザーには、Google Playストア外で直接ダウンロードできるリンクが提供されます。
Mining X 配布キャンペーンに関しては、Web サイトからダウンロード リンクをクリックすると、アプリケーションをダウンロードするための QR コードを含むウィンドウが開きます。
2 番目の配布チャネルはスミッシングによるもので、Android フォンを直接攻撃します。Malibot にはオンデマンドで SMS メッセージを送信する機能があり、そのようなコマンドを受信すると、Malibot コマンド アンド コントロール サーバーによって提供される電話リストにテキストを送信します。
Malibot はどのようなデータを盗むのでしょうか?
Malibot は、個人データ、認証情報、金融情報などの情報を盗むように設計されています。この目的を達成するために、Cookie、多要素認証の認証情報、暗号通貨ウォレットを盗むことが可能です。
Googleアカウント
Malibot は Google アカウントの認証情報を収集する仕組みを備えています。被害者が Google アプリケーションを開くと、マルウェアは Google サインインページへの WebView を開き、ユーザーにサインインを強制します。ユーザーは [戻る] ボタンをクリックできなくなります。
Malibot は Google アカウントの認証情報を収集するだけでなく、Google の 2FA も回避できます。ユーザーが Google アカウントに接続しようとすると、Google のプロンプト画面が表示され、マルウェアはこれを即座に検証します。2FA コードは正規ユーザーではなく攻撃者に送信され、マルウェアはそれを取得して認証を検証します。
選択したオンラインサービスへの複数の注入
マルウェアは感染デバイスのアプリケーションリストも攻撃者に提供します。これにより、攻撃者はマルウェアがフックしてインジェクトページを表示できるアプリケーションを特定できます。インジェクトページとは、正規のページを模倣してユーザーに表示されるページのことです(図C)。
図C
F5 Labsによれば、Malibotはスペインとイタリアの金融機関を標的にしているという。
多要素認証
Malibot は、Google アカウントを盗むのに用いられる手法に加え、Google Authenticator からオンデマンドで多要素認証コードを盗むこともできます。携帯電話に SMS で送信される多要素認証コードは、マルウェアによって傍受され、盗み出されます。
暗号通貨ウォレット
Malibot は Binance と Trust の暗号通貨ウォレットからデータを盗むことができます。
マルウェアは、被害者の Binance と Trust の両方のウォレットから合計残高を取得し、それを C2 サーバーにエクスポートしようとします。
Trust ウォレットに関しては、Malibot は被害者のシード フレーズも収集できるため、攻撃者は後ですべての資金を任意の別のウォレットに転送することができます。
SMS詐欺
マリボットはオンデマンドでSMSメッセージを送信できます。この機能は主にスミッシングによる拡散に利用されますが、プレミアムSMSが有効になっている場合は、被害者のモバイルクレジットに課金するプレミアムSMSを送信することもできます。
Malibot はどのようにして感染したデバイスを制御するのでしょうか?
マリボットはAndroidのアクセシビリティAPIを多用します。このAPIは、モバイルアプリケーションがユーザーに代わって操作を実行できるようにするものです。このAPIを利用することで、マリボットは情報を窃取し、常駐を維持します。具体的には、画面上の特定のテキストやラベルを検知し、「戻る」ボタンを押してアンインストールや権限の削除を阻止することで、自身を保護します。
マリボット:非常に活発な脅威
マリボットの開発者は、感染したデバイス上で検出されずにできるだけ長く持続することを望んでいます。非アクティブな状態の場合にオペレーティングシステムによって強制終了または一時停止されるのを防ぐため、マルウェアはランチャーとして設定されています。アクティビティがチェックされるたびに、サービスを起動または起動します。
マルウェアにはいくつかの追加保護機能が含まれていますが、使用されていません。F5の研究者は、マルウェアがシミュレーション環境で実行されているかどうかを検出する機能を発見しました。また、マルウェアを隠しアプリケーションとして設定する未使用の関数も存在します。
マリボットの標的は今後も増える見込み、米国はすでに攻撃を受けている可能性も
F5 Labs の調査ではスペインとイタリアが標的であることが明らかになったが、サイバー犯罪者がアメリカ国民を標的にしていることを示唆する継続的な活動も発見された。
同じ脅威アクターが使用するドメインの 1 つは、アメリカの税務サービスになりすまし、マルウェアのダウンロードを提案する「Trust NFT」Web サイト (図 D ) に誘導します。
図D
COVID-19をテーマにしたドメイン名を使用している別のウェブサイトも同じコンテンツにリンクしています。研究者たちは、攻撃者がこれらの新しいウェブサイトを通じて、米国を含む世界の他の地域でもさらに多くのマルウェアを展開すると予想しています。
マリボットから身を守る方法
このマルウェアは、サイバー犯罪者が構築したウェブサイトとSMSからのみ拡散されます。現在のところ、Google Playストアなどの正規のAndroidプラットフォームを通じて拡散されることはありません。
Androidデバイスには、クリックするだけで直接ダウンロードできるアプリケーションは絶対にインストールしないでください。信頼できる正規のアプリケーションストアやプラットフォームからのみアプリケーションをインストールしてください。SMSで受信したリンクからアプリケーションをインストールしないでください。
既知の脅威から保護するために、Android デバイスに包括的なセキュリティ アプリケーションをインストールします。
アプリケーションをインストールする際は、権限を慎重に確認する必要があります。Malibotマルウェアは、初回起動時にSMS送信権限を要求するため、警戒が必要です。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
