Last Updated on 2024-07-08 08:06 by 門倉 朋宏
Androidデバイスを狙ったバンキングトロイの木馬「Antidot」が、Google Playのアップデートに偽装して出現した。このマルウェアは、ドイツ語、フランス語、スペイン語、ロシア語、ポルトガル語、ルーマニア語、英語の偽のGoogle Playアップデートページを表示し、これらの言語圏のユーザーを標的にしている。Antidotはオーバーレイ攻撃とキーロギング技術を使用し、ログイン情報などの機密情報を効率的に収集する。
オーバーレイ攻撃では、正規のアプリを模倣した偽のインターフェースを作成し、ユーザーに情報を入力させる。キーロギングはユーザーのキーストロークを記録し、パスワードやその他の機密情報を収集する。Antidotは「アクセシビリティ」サービスを利用して機能し、被害者が許可を与えると、コマンド&コントロール(C2)サーバーと通信を確立し、デバイスをボットIDで登録する。
マルウェアはインストールされたアプリケーションのパッケージ名のリストをサーバーに送信し、標的アプリケーションを特定する。標的が特定されると、サーバーはオーバーレイインジェクションURL(HTMLフィッシングページ)を送信し、被害者が正規のアプリケーションを開くたびにこの偽ページが表示される。被害者がこの偽ページに認証情報を入力すると、キーロガーモジュールがデータをC2サーバーに送信し、認証情報を収集する。
AntidotはWebSocketを使用してC2サーバーとの通信を維持し、リアルタイムで双方向のやり取りを可能にすることで、攻撃者が感染デバイスを大きく制御できるようにする。このマルウェアはSMSメッセージの収集、USSDリクエストの開始、カメラや画面ロックなどのデバイス機能のリモートコントロールを実行するコマンドを実行する。さらに、MediaProjectionを使用してVNCを実装し、感染デバイスのリモートコントロールを可能にし、その脅威をさらに増大させる。
リモートコントロールVNCデバイスを使用することで、ハッカーは完全な詐欺チェーンを実行できる。リアルタイムの活動を監視し、不正な取引を行い、プライベート情報にアクセスし、物理的にデバイスを持っているかのように操作できる。この能力は、被害者の財務資源と個人データを悪用する潜在性を最大化する。
Androidバンキングトロイの木馬の出現は、従来のセキュリティ対策を迂回し、ユーザーの信頼を悪用し、個人および財務情報への広範なアクセスを得ることができるため、重大な脅威を示している。これらのトロイの木馬は、バックグラウンドで静かに動作し、検出が困難でありながら、機密データを継続的に外部に送信し、重大な財務およびプライバシーの侵害を引き起こす可能性がある。
Antidotトロイの木馬は、モバイルマルウェアがより高度でターゲット指向になっていることを示しており、システム機能とユーザーの信頼を悪用する多面的な攻撃に向かっている傾向がある。リアルタイム通信とリモートコントロール機能の使用は、より対話的で持続的な脅威に向かっているシフトを示している。この進化は、ますます洗練されたモバイルマルウェアに対抗するためのセキュリティ対策とユーザーの認識の向上の必要性を強調している。
【ニュース解説】
Google Androidデバイスを狙った新たなバンキングトロイの木馬「Antidot」が、Google Playのアップデートに偽装してユーザーの機密情報を狙うマルウェアとして登場しました。このマルウェアは、複数の言語で偽のGoogle Playアップデートページを表示し、幅広い地域のユーザーを標的にしています。Antidotは、オーバーレイ攻撃とキーロギング技術を駆使して、ログイン情報をはじめとする機密情報を効率的に収集します。
オーバーレイ攻撃とは、正規のアプリケーションに似せた偽のインターフェースを作成し、ユーザーにその上で情報を入力させる手法です。一方、キーロギングはユーザーが入力するすべてのキーストロークを記録し、パスワードやその他の機密情報を収集します。Antidotは、ユーザーが許可を与えると、「アクセシビリティ」サービスを利用して機能し、コマンド&コントロール(C2)サーバーとの通信を確立します。これにより、感染デバイスはボットIDで登録され、標的アプリケーションの特定、機密情報の収集が行われます。
特に注目すべきは、AntidotがWebSocketを使用してC2サーバーとリアルタイムで双方向の通信を行う点です。これにより、攻撃者は感染デバイスに対して大きな制御を持ち、SMSメッセージの収集、USSDリクエストの開始、カメラや画面ロックなどのデバイス機能のリモートコントロールを実行できます。さらに、MediaProjectionを使用したVNCにより、感染デバイスのリモートコントロールが可能になり、攻撃者は被害者のデバイスを遠隔から完全に操作できるようになります。
このような高度な攻撃手法は、従来のセキュリティ対策を迂回し、ユーザーの信頼を悪用することで、個人および財務情報への広範なアクセスを可能にします。バックグラウンドで静かに動作し、検出が困難なため、重大な財務およびプライバシーの侵害を引き起こす可能性があります。
Antidotの出現は、モバイルマルウェアがより高度でターゲット指向になっていることを示しており、システム機能とユーザーの信頼を悪用する多面的な攻撃に向かっている傾向があります。リアルタイム通信とリモートコントロール機能の使用は、より対話的で持続的な脅威に向かっているシフトを示しています。この進化は、ますます洗練されたモバイルマルウェアに対抗するためのセキュリティ対策とユーザーの認識の向上の必要性を強調しています。ユーザーは、アプリのアップデートやダウンロードを行う際には、常に公式のプラットフォームや信頼できるソースからのみ行うこと、不審なアプリケーションの許可を避けること、定期的にセキュリティ対策を更新することが重要です。
from Android Banking Trojan Antidot Disguised as Google Play Update.
