CoinPostで今最も読まれています

独当局が警告、マルウェア「ゴッドファーザー」が仮想通貨ウォレットなど標的に

画像はShutterstockのライセンス許諾により使用

400の金融アプリを攻撃

ドイツ連邦金融監督庁(BaFin)は9日、「ゴッドファーザー」(GodFather)と呼ばれるトロイの木馬型マルウェアが、ドイツの事業者を含む約400の銀行及び暗号資産(仮想通貨)ウォレットなどのアプリを攻撃しているとして、消費者に警告を発した。

BaFinは、このマルウェアに感染したデバイスでは、銀行/仮想通貨アプリの偽サイトが表示され、ユーザーが偽サイトからログインすると、ログインデータがサイバー犯罪者に送信されると説明。

さらに、このマルウェアがセキュリティ対策用の「二段階認証コード」を不正取得するために、プッシュ通知を送信することも知られているという。

BaFinは、マルウェアがどのようにしてユーザーの端末に侵入するのかは不明だが、犯罪者が盗んだデータを利用して、ユーザーの口座やウォレットにアクセスする可能性もあると指摘した。

ゴッドファーザーの概要

サイバーセキュリティ企業Group-IBは昨年12月21日、ゴットファーザーについて詳しく解説するブログ記事を発表した。

Group-IBは2021年6月に「モバイルバンキング向けトロイの木馬」であるゴッドファーザーを最初に検出。2022年3月に不正リスク管理会社のThreat Fabricの研究者が、初めて公的にゴッドファーザーについて言及した後、同年6月にはこのマルウェアの流通がストップした。

しかし、Group-IBの予想通り、機能がアップグレードされたバージョンが9月に登場し、現在、世界の金融サービスのユーザーを標的として利用され、2022年10月の時点で、215の国際的な銀行、94の仮想通貨ウォレット、110の仮想通貨取引所が被害を受けたという。

標的となったのは、米国(49)、トルコ(31)、スペイン(30)、カナダ(22)、フランス(20)、ドイツ(19)、イギリス(17)などの企業。

一方、ゴッドファーザーはシステム環境設定に、旧ソビエト連邦地域の言語(ロシア語、アゼルバイジャン語、カザフ語など)が含まれていた場合、シャットダウンするようにプログラムされているとGroup-IBは指摘。このマルウェアの開発者がロシア語話者である可能性を示唆した。

アンドロイド端末向けのマルウェア

Group-IBによると、ゴッドファーザーはAnubisという別の銀行型「トロイの木馬」マルウェアのソースコードをベースにして、新バージョンのアンドロイド向けにアップグレードされたものだという。

アンドロイド向けの銀行型トロイの木馬に見られる特徴の一つが、正規アプリの上にサイバー犯罪者が作成したページが表示される偽装ウェブサイトの使用で、ゴッドファーザーにも盛り込まれている。感染したデバイスでは、ユーザーが囮となる通知をクリックしたり、正規アプリを開いた際に、偽サイトが正規のページに重ね合わせて表示される。

巧妙な手口

ゴッドファーザーが起動すると、すべてのアンドロイド端末に搭載されている標準的なセキュリティツール「Googleプロテクト」の動作を模倣。同ツールが「アクティブ」と表示される。また、「スキャン」ボタンを押すと、アンドロイドのアクセシビリティ機能設定へのアクセスが要求され、許可しない限り、スキャン機能は起動しない。

実際にスキャンは行われることはないが、スキャンのアニメーションが30秒間表示され、不正なアプリは見つからなかったというメッセージが表示される。しかし、アクセシビリティ機能へのアクセス許可により、ゴッドファーザーは必要な権限を発行し、コマンド&コントロール(C&C)サーバとの通信を開始する。

ゴッドファーザーは、このようにGoogleプロテクトを模倣することで、感染した端末上で簡単には検出されないような仕組みになっているようだ。

その後、ユーザーが銀行アプリなどを起動し金融サービスにログインすると、偽ページに入力されたユーザー名やパスワードなどの全ての情報が、C&Cサーバに流出することになる。

ゴッドファーザーの機能と配布方法

Group-IBによると、ゴッドファーザーの機能には以下のようなものが含まれる。

  • 端末画面の録画機能
  • VNC(リモートデスクトップソフト)接続の確立
  • キーロガーの起動
  • プッシュ通知の流出(二段階認証を回避)
  • 通話の転送(二段階認証を回避)
  • 端末からのSMSメッセージ送信
  • プロキシサーバーの起動
  • WebSocket接続の確立

Group-IBは、ゴッドファーザーの配布方法の一つが、GooglePlayでホストされた悪意のあるおとりアプリだったと指摘した。その後、Googleの広報担当者は、Google Playプロテクトによって、特定された不正アプリがブロックされるため、ユーザーは保護されていると声明を出し、レポートで確認された悪質なアプリは、GooglePlay上には存在しないことを確認した。

CoinPost App DL
注目・速報 相場分析 動画解説 新着一覧
03/29 金曜日
17:08
HSBC銀行がトークン化されたゴールド商品を香港で提供開始
HSBCは香港の個人投資家に向けて、オンラインバンキングとウェブサイトを通じたトークン化されたゴールド商品のアクセスを提供開始した。トークンはHSBC Orionプラットフォームで発行され、リテール向け、HSBCオンラインバンキングおよびHSBC香港モバイルアプリを通じて提供される。
15:30
Filecoinステーキング大手、Glifがポイントプログラム開始
暗号資産(仮想通貨)ファイルコイン(FIL)の、ステーキング・プロトコルGlifがポイントプログラムを開始した。FILトークン保有者は流動性プールにFILを預けることで、Glifのネイティブ・リキッド・リース・トークンである「iFIL」を受け取り、運用できる。
14:34
イーサリアム共同創設者ブテリン氏、Dencun後の改善点を語る
仮想通貨イーサリアムの共同創業者ヴィタリック・ブテリン氏は、Dencunが完了した今後の技術的な改善点を提案した。
14:11
CoinTradeがソラナ含む4銘柄の取扱い開始、ステーキングサービスにSOL追加
暗号資産(仮想通貨)販売所CoinTradeがソラナを含む4銘柄の取り扱いを開始。ステーキングサービスにSOLを追加した。条件をクリアすることでSOLをプレゼントするキャンペーンを開催中。ジパングコイン(ZPG)など三井物産デジタルコモディティーズも新規で取り扱う。
12:55
日本DAO協会4月1日に立ち上げ 府令改正も同日公布
日本DAO協会が4月1日に設立される。DAOの自主規制や健全なエコシステムづくりを推進していくもので、協会自体の運営もDAOで行う計画だ。
12:24
ビットコイン7万ドル台で高止まり、ブラックロックの新規ファンド好調でRWA関連銘柄買われる
暗号資産(仮想通貨)市場ではビットコインが7万ドル台新高値をうかがう展開。アルト相場ではブラックロックのトークン化ファンド「BUIDL」絶好調の影響で、ONDOなどのRWA関連銘柄が買われた。
11:30
Googleサーチ、ビットコインやArbitrumなどのアドレスで資産残高を確認可能に
全ての資産を表示するわけではなく、残高は各ネットワークのネイティブトークン(ETHやARB、OPなど)のみを表示。
10:50
5月のローンチ目指す、香港でビットコイン現物ETF申請のVSFG
仮に香港で承認された場合、アジア初の事例となり、今後日本でのビットコインETF上場や発行にも追い風になりうるとみられる。
10:00
FTXのサム前CEOに懲役25年の判決 カリフォルニアで服役へ
米国地方裁判所の判事は28日、破綻した仮想通貨取引所FTXのサム前CEOに対して懲役25年、および最大1.7兆円の資産没収という判決を言い渡した。
08:40
2.6兆円相当のBTC保有数到達、ブラックロックのビットコイン現物ETF
純流入再び加速 ブラックロックのIBIT・ビットコイン現物ETFの運用資産は初めて、250,000 BTC(2.6兆円)を超えた。1月11日の取引開始からわずか11週間で2兆円…
08:10
Wormholeの仮想通貨「W」、取得開始日明かす
Wormholeは、今月7日に、Wトークンのエアドロップアロケーションや適合対象アドレスを公開。ソラナ、EVM系、Sui、Aptos、Osmosis、Injectiveといったネットワークでのユーザーや、ソラナNo.1NFTコレクションである「Mad Lads」のホルダーを対象としている。
07:40
米投資会社、マイクロストラテジーの株はBTCより割高と指摘
マイクロストラテジーの株価から概算する仮想通貨ビットコインの価格は17万ドル超であると米ケリスデールが分析。同社の株は、ビットコインに対し正当ではないプレミアムがついて取引されているとの見方を示した。
07:20
アバランチ財団「Codebase」、最初の支援プロジェクト15社を選出
アバランチではすでに「Colony Lab」という分散型アクセラレーターが活動しているが、今回Codebaseと連携し支援対象への資金提供を拡大し、1プロジェクトにつき、100万ドルを超える金額を提供する可能性がある。
06:45
5月承認の可能性低いもBitwiseらがイーサリアム現物ETFの上場申請行う
イーサリアムETFが現在の多くの申請の最終期限となる5月に承認される見込みは、SECがイーサリアム財団を調査しているとの報道などを受け大幅に後退している。1月には70%あったが、現在は20%程度まで低下してきた模様だ。
05:50
Bybit、ソラナミームコイン「POPCAT」の永久先物提供
ソラナの仮想通貨ミームコインへの需要は未だ高い。代表的な犬系ミームコイン「WIF」は29日過去最高値を更新し、前日比で20%上昇している。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
イベント情報
一覧
2024/04/06 ~ 2024/04/09
香港 香港コンベンション・アンド・エキシビション・センター3FG
2024/04/09 14:00 ~ 16:00
その他 オンライン
2024/04/13 ~ 2024/04/14
東京 東京都港区
2024/04/13 10:00 ~ 17:00
その他 オンライン
重要指標
一覧
新着指標
一覧