Last Updated on 2024-06-26 20:30 by 荒木 啓介
サイバーセキュリティ研究者たちは、カナダ、フランス、イタリア、スペイン、トルコ、イギリス、アメリカの銀行利用者を対象にしたAndroidバンキングトロイの木馬「Medusa」の更新版を発見した。この新しい詐欺キャンペーンは2024年5月に観察され、2023年7月から活動している。Medusaは、SMSメッセージの読み取り、キーストロークのログ、スクリーンショットのキャプチャ、通話の録音、リアルタイムでのデバイス画面の共有、オーバーレイ攻撃を使用して銀行の認証情報を盗むことで、不正な資金移動を実行する能力を持つ。
Cleafyの分析によると、新しいMedusaサンプルは「軽量な権限セットと新機能、例えばフルスクリーンオーバーレイの表示やアプリケーションのリモートアンインストールの能力」を特徴としている。また、偽のアップデートとしてMedusaを拡散するためにドロッパーアプリを使用し、TelegramやXなどの正規サービスを使用してデータの抜き取りに使用されるコマンドアンドコントロール(C2)サーバーを取得するためのデッドドロップリゾルバとして利用している。検出の可能性を低下させるために要求される権限の数を減らす変更が行われたが、依然としてAndroidのアクセシビリティサービスAPIが必要であり、必要に応じて他の権限をこっそりと有効にし、ユーザーの疑念を引き起こさないようにする。
Medusaのボットネットクラスターは、フィッシングなどの検証済みの手法に依存してマルウェアを拡散するが、不信なソースからダウンロードされたドロッパーアプリを介してそれを拡散する新しい波が観察されている。これは、脅威アクターが戦術を進化させるための継続的な努力を示している。また、Symantecは、Android用の架空のChromeブラウザアップデートを餌にしてCerberusバンキングトロイの木馬を落とすキャンペーンを明らかにした。同様に、偽のTelegramアプリを偽のウェブサイトを通じて配布するキャンペーンも観察されており、SpyMaxと呼ばれる別のAndroidマルウェアが配布されている。SpyMaxは、感染したデバイスからユーザーの同意なしに個人/プライベート情報を収集し、リモートの脅威アクターに送信するリモート管理ツール(RAT)である。
【ニュース解説】
サイバーセキュリティの研究者たちは、カナダ、フランス、イタリア、スペイン、トルコ、イギリス、アメリカの銀行利用者を狙うAndroid向けのバンキングトロイの木馬「Medusa」の新しいバージョンを発見しました。このマルウェアは、2023年7月から活動しており、2024年5月に新たな詐欺キャンペーンが観察されました。Medusaは、SMSの読み取り、キーストロークの記録、スクリーンショットの取得、通話の録音、リアルタイムでのデバイス画面の共有、そしてオーバーレイ攻撃を利用して銀行の認証情報を盗み出し、不正な資金移動を行う能力を持っています。
新しいMedusaのサンプルは、より少ない権限を要求することで検出を避けやすくなっており、フルスクリーンオーバーレイの表示やアプリケーションのリモートアンインストールなどの新機能を備えています。このマルウェアは、偽のアップデートとして装い、TelegramやXなどの正規サービスを利用して、データ抜き取りに使用されるコマンドアンドコントロール(C2)サーバーの情報を取得するドロッパーアプリを介して拡散されます。また、デバイスがロックされたり電源が切れたりしたかのように見せかけるために、被害者のデバイスに黒い画面のオーバーレイを設定する機能も追加されました。
このマルウェアの拡散方法としては、フィッシング攻撃や信頼できないソースからダウンロードされるドロッパーアプリを通じて、従来の手法に加えて新しい手法が採用されています。これは、攻撃者がより巧妙に、かつ広範囲にわたって攻撃を行うための戦術を進化させていることを示しています。
このようなマルウェアの存在は、銀行利用者だけでなく、広くインターネットを利用するすべてのユーザーにとって深刻な脅威となります。特に、銀行口座の情報や個人情報が盗まれることによる金銭的損失やプライバシーの侵害は、個人の生活に甚大な影響を及ぼす可能性があります。また、このような攻撃は、銀行や金融機関に対する信頼を損なうことにもつながり、セキュリティ対策の強化やユーザー教育の必要性を改めて浮き彫りにしています。
一方で、このニュースは、サイバーセキュリティの研究者やセキュリティ企業が、マルウェアの進化に対して常に監視を行い、新たな脅威を発見し公表することで、一般のユーザーや企業が適切な対策を講じるための重要な情報を提供していることを示しています。ユーザー自身も、OSやアプリのアップデートを常に最新の状態に保つ、不審なメールやリンクを開かない、信頼できるソースからのみアプリをダウンロードするなど、基本的なセキュリティ対策を心がけることが重要です。
from New Medusa Android Trojan Targets Banking Users Across 7 Countries.
