はじめての仮想通貨
TOP
新着一覧
チャート
学習-運用
WebX
400の金融アプリを攻撃
ドイツ連邦金融監督庁(BaFin)は9日、「ゴッドファーザー」(GodFather)と呼ばれるトロイの木馬型マルウェアが、ドイツの事業者を含む約400の銀行及び暗号資産(仮想通貨)ウォレットなどのアプリを攻撃しているとして、消費者に警告を発した。
BaFinは、このマルウェアに感染したデバイスでは、銀行/仮想通貨アプリの偽サイトが表示され、ユーザーが偽サイトからログインすると、ログインデータがサイバー犯罪者に送信されると説明。
さらに、このマルウェアがセキュリティ対策用の「二段階認証コード」を不正取得するために、プッシュ通知を送信することも知られているという。
BaFinは、マルウェアがどのようにしてユーザーの端末に侵入するのかは不明だが、犯罪者が盗んだデータを利用して、ユーザーの口座やウォレットにアクセスする可能性もあると指摘した。
ゴッドファーザーの概要
サイバーセキュリティ企業Group-IBは昨年12月21日、ゴットファーザーについて詳しく解説するブログ記事を発表した。
In a new blog post, Group-IB’s Threat Intelligence team describes in detail who #Godfather attacks, how it does it, and what this #banking #Trojan inherited from its predecessor. Read now➡️ https://t.co/VY4FZl4BLE pic.twitter.com/ZiHjtStnoT
— Group-IB Global (@GroupIB_GIB) December 21, 2022
Group-IBは2021年6月に「モバイルバンキング向けトロイの木馬」であるゴッドファーザーを最初に検出。2022年3月に不正リスク管理会社のThreat Fabricの研究者が、初めて公的にゴッドファーザーについて言及した後、同年6月にはこのマルウェアの流通がストップした。
しかし、Group-IBの予想通り、機能がアップグレードされたバージョンが9月に登場し、現在、世界の金融サービスのユーザーを標的として利用され、2022年10月の時点で、215の国際的な銀行、94の仮想通貨ウォレット、110の仮想通貨取引所が被害を受けたという。
標的となったのは、米国(49)、トルコ(31)、スペイン(30)、カナダ(22)、フランス(20)、ドイツ(19)、イギリス(17)などの企業。
一方、ゴッドファーザーはシステム環境設定に、旧ソビエト連邦地域の言語(ロシア語、アゼルバイジャン語、カザフ語など)が含まれていた場合、シャットダウンするようにプログラムされているとGroup-IBは指摘。このマルウェアの開発者がロシア語話者である可能性を示唆した。
アンドロイド端末向けのマルウェア
Group-IBによると、ゴッドファーザーはAnubisという別の銀行型「トロイの木馬」マルウェアのソースコードをベースにして、新バージョンのアンドロイド向けにアップグレードされたものだという。
アンドロイド向けの銀行型トロイの木馬に見られる特徴の一つが、正規アプリの上にサイバー犯罪者が作成したページが表示される偽装ウェブサイトの使用で、ゴッドファーザーにも盛り込まれている。感染したデバイスでは、ユーザーが囮となる通知をクリックしたり、正規アプリを開いた際に、偽サイトが正規のページに重ね合わせて表示される。
巧妙な手口
ゴッドファーザーが起動すると、すべてのアンドロイド端末に搭載されている標準的なセキュリティツール「Googleプロテクト」の動作を模倣。同ツールが「アクティブ」と表示される。また、「スキャン」ボタンを押すと、アンドロイドのアクセシビリティ機能設定へのアクセスが要求され、許可しない限り、スキャン機能は起動しない。
実際にスキャンは行われることはないが、スキャンのアニメーションが30秒間表示され、不正なアプリは見つからなかったというメッセージが表示される。しかし、アクセシビリティ機能へのアクセス許可により、ゴッドファーザーは必要な権限を発行し、コマンド&コントロール(C&C)サーバとの通信を開始する。
ゴッドファーザーは、このようにGoogleプロテクトを模倣することで、感染した端末上で簡単には検出されないような仕組みになっているようだ。
その後、ユーザーが銀行アプリなどを起動し金融サービスにログインすると、偽ページに入力されたユーザー名やパスワードなどの全ての情報が、C&Cサーバに流出することになる。
ゴッドファーザーの機能と配布方法
Group-IBによると、ゴッドファーザーの機能には以下のようなものが含まれる。
- 端末画面の録画機能
- VNC(リモートデスクトップソフト)接続の確立
- キーロガーの起動
- プッシュ通知の流出(二段階認証を回避)
- 通話の転送(二段階認証を回避)
- 端末からのSMSメッセージ送信
- プロキシサーバーの起動
- WebSocket接続の確立
Group-IBは、ゴッドファーザーの配布方法の一つが、GooglePlayでホストされた悪意のあるおとりアプリだったと指摘した。その後、Googleの広報担当者は、Google Playプロテクトによって、特定された不正アプリがブロックされるため、ユーザーは保護されていると声明を出し、レポートで確認された悪質なアプリは、GooglePlay上には存在しないことを確認した。
