innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

「新型Androidマルウェア「Crocodilus」が登場 – アクセシビリティ機能を悪用し銀行・暗号資産を狙う高度な脅威

「新型Androidマルウェア「Crocodilus」が登場 - アクセシビリティ機能を悪用し銀行・暗号資産を狙う高度な脅威 - innovaTopia - (イノベトピア)

Last Updated on 2025-03-31 13:02 by admin

2025年3月、サイバーセキュリティ企業ThreatFabricの研究者が、新しいAndroidバンキングマルウェア「Crocodilus」を発見した。このマルウェアは主にスペインとトルコのユーザーを標的としている。

Crocodilusの特徴は以下の通りである

  • Google Chromeを装ってインストールされる(パッケージ名:quizzical.washbowl.calamity)。
  • Androidのアクセシビリティサービスを悪用して情報を盗む。
  • 銀行アプリと暗号通貨ウォレットの認証情報を狙う。
  • ブラックスクリーンオーバーレイを使用して悪意のある活動を隠蔽する。
  • Google Authenticatorの画面をキャプチャできる。

暗号通貨ウォレットに対しては、シードフレーズをバックアップしないとアクセスを失うリスクがあるという偽の警告メッセージを表示し、ユーザーから重要情報を引き出す。

ThreatFabricの分析によると、Crocodilusの開発者はトルコ語話者である可能性が高い。また、このマルウェアは新しく発見された脅威としては異例の成熟度を示しているという。

同時期に、セキュリティ企業Forcepointが、Windows向けのバンキングトロイの木馬「Grandoreiro」の活動を報告している。このマルウェアは税金関連の偽メールを通じて、メキシコ、アルゼンチン、スペインのユーザーを標的としている。

from:New Android Trojan Crocodilus Abuses Accessibility to Steal Banking and Crypto Credentials

【編集部解説】

2025年3月に発見された「Crocodilus(クロコダイラス)」は、モバイルセキュリティの新たな脅威として注目すべきマルウェアです。名前はワニを意味する「Crocodile」に由来すると思われ、その名の通り巧妙に獲物(ユーザー情報)を捕らえる特性を持っています。

このマルウェアの特筆すべき点は、単なる情報窃取だけでなく、デバイス全体の乗っ取り(Device Takeover = DTO)を目的としている点です。Androidのアクセシビリティ機能を悪用するという手法は以前から存在していましたが、Crocodilusはその手法を洗練させ、さらに「ブラックスクリーンオーバーレイ」という技術を組み合わせることで、ユーザーが気づかないうちに不正操作を行うことができます。

特に暗号通貨ウォレットを狙った手法は非常に巧妙です。通常のフィッシング攻撃では偽のログイン画面を表示してパスワードを盗みますが、Crocodilusはシードフレーズをバックアップしないとウォレットへのアクセスを失うリスクがあるという偽の警告を表示します。ユーザーが慌ててシードフレーズを確認すると、その操作をすべて記録され、攻撃者に暗号資産を奪われてしまいます。

複数のセキュリティ企業の報告によると、Crocodilusは2025年3月28日頃に初めて確認されたマルウェアで、オランダのモバイルセキュリティ企業ThreatFabricによって発見されました。開発者はトルコ語話者であると推測されており、現時点では主にスペインとトルコのユーザーを標的としています。

注目すべきは、このマルウェアが初期段階から非常に高度な機能を備えている点です。通常、新しいマルウェアは基本的な機能から始まり、徐々に進化していくものですが、Crocodilusは最初から完全な脅威として登場しています。これは、既存の他のマルウェアの知見を取り入れて開発された可能性を示唆しています。

Crocodilusの特徴的な機能として、Google Authenticatorアプリの画面をキャプチャする能力があります。これにより、2段階認証で使用されるワンタイムパスワード(OTP)も盗み取ることができ、セキュリティ対策として2段階認証を設定していても完全に安全とは言えない状況を生み出しています。

また、「ブラックスクリーンオーバーレイ」機能は特に危険です。この機能を使うと、攻撃者がリモートでデバイスを操作している間、画面を黒く表示し、同時に音も消すことで、ユーザーに気づかれないようにすることができます。つまり、あなたのスマートフォンが勝手に操作されていても、それを視覚的にも聴覚的にも察知することができないのです。

Crocodilusはソーシャルエンジニアリングの手法も巧みに取り入れています。特に暗号通貨ウォレットに対する攻撃では、ユーザーの焦りや不安を利用して、自ら重要な情報を入力させるよう誘導します。これは技術的な対策だけでは防ぎきれない脅威であり、ユーザー自身のセキュリティ意識の向上が重要になってきます。

セキュリティ研究者たちは、Crocodilusが「sybra」と呼ばれる脅威アクターと関連している可能性を指摘しています。このアクターは以前にもErmacというマルウェアの派生版「MetaDroid」や、HookやOctoといったモバイルマルウェアを使用していたことが確認されています。ただし、Crocodilusの開発者なのか、単なる「顧客」として利用しているだけなのかは現時点では不明です。

このような高度なマルウェアの登場は、モバイルセキュリティの重要性をあらためて浮き彫りにしています。特にスマートフォンが日常生活やビジネスに不可欠となった現代において、銀行アプリや暗号通貨ウォレットなどの金融関連アプリを狙ったマルウェアは、直接的な金銭被害をもたらす可能性があります。

従来の対策としては、公式アプリストア以外からのアプリインストールを避けること、アプリの権限設定を慎重に確認すること、OSやアプリを常に最新の状態に保つことなどが挙げられますが、Crocodilusのような高度なマルウェアに対しては、それだけでは不十分かもしれません。

今後は、アプリ開発者や金融機関側でも、デバイスの異常な動作を検知する仕組みや、重要な操作に対する追加の認証手段の導入など、多層的なセキュリティ対策が求められるでしょう。また、ユーザー自身も、緊急性を煽るメッセージには冷静に対応し、公式サイトやアプリを通じて情報を確認する習慣をつけることが重要です。

テクノロジーの進化とともに、サイバー攻撃の手法も高度化しています。Crocodilusの登場は、モバイルセキュリティの新たな課題を提示していますが、適切な知識と対策によって、私たちはこれらの脅威から身を守ることができるはずです。innovaTopiaでは、今後もこうした最新のセキュリティ脅威について、わかりやすく解説していきます。

【用語解説】

デバイス乗っ取り(DTO: Device Takeover)
攻撃者がユーザーのデバイスに遠隔からアクセスして完全に制御できる状態にすること。正規ユーザーの身分を利用して不正な取引を行うことができる。従来の口座乗っ取り(ATO: Account Takeover)よりも高度な攻撃手法である。

オーバーレイ攻撃(Overlay Attack)
正規のアプリの上に偽の画面を重ねて表示し、ユーザーの入力情報を盗み取る攻撃手法。銀行アプリを開いたときに偽のログイン画面を表示するなどの方法で認証情報を窃取する。

ブラックスクリーンオーバーレイ
デバイス画面を黒く表示して、攻撃者が裏で行っている操作をユーザーに見えないようにする技術。音も消すことで、ユーザーは自分のデバイスで何が起きているか全く気づけない状態になる。

シードフレーズ
暗号通貨ウォレットのバックアップや復元に使用される12〜24語の単語列。このフレーズを知っていれば、どこからでもウォレットにアクセスして資産を移動できるため、非常に重要な秘密情報である。

アクセシビリティサービス
本来は視覚障害者などの支援のためにAndroidに搭載されている機能だが、画面上の全ての情報や操作を監視・制御できるため、悪用されるとプライバシーやセキュリティ上の大きなリスクとなる。

C2サーバー(Command and Control)
マルウェアを遠隔操作するためのサーバー。攻撃者はこのサーバーを通じてマルウェアに指示を送り、盗んだデータを受け取る。

ThreatFabric
2015年にオランダのアムステルダムで設立されたサイバーセキュリティ企業。銀行や金融機関向けに脅威インテリジェンスとオンライン詐欺防止ソリューションを提供している。約50名の従業員を抱え、2023年4月に約1255万ドルの資金調達を行った。

Forcepoint
サイバーセキュリティソリューションを提供するグローバル企業。データ保護、ネットワークセキュリティ、クラウドセキュリティなどの製品を展開している。

【参考リンク】

ThreatFabric公式サイト(外部)
オランダに拠点を置くサイバーセキュリティ企業。モバイルおよびウェブの脅威インテリジェンスを活用した詐欺防止ソリューションを提供している。

Cleafy – アカウント乗っ取り詐欺について(外部)
アカウント乗っ取り詐欺の仕組みと防止方法について詳しく解説しているページ。

【参考動画】

【編集部後記】

テクノロジーの進化とともに、サイバー攻撃の手法も高度化しています。特にスマートフォンは私たちの生活に欠かせないデバイスとなり、銀行アプリや暗号通貨ウォレットなど、重要な金融情報を扱うことが増えています。

Crocodilusのような高度なマルウェアは、単に「怪しいリンクをクリックしない」といった従来の対策だけでは防ぎきれません。アプリのインストール時に要求される権限を慎重に確認し、特にアクセシビリティサービスへのアクセス許可は、本当に必要な場合にのみ与えるようにしましょう。

また、暗号通貨を利用している方は、シードフレーズの管理に特に注意が必要です。緊急性を煽るメッセージには冷静に対応し、公式サイトやアプリを通じて情報を確認するようにしてください。

テクノロジーの恩恵を安全に享受するためには、最新の脅威に関する情報を常にアップデートし、適切な対策を講じることが重要です。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

author avatar
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 「新型Androidマルウェア「Crocodilus」が登場 – アクセシビリティ機能を悪用し銀行・暗号資産を狙う高度な脅威

Latest News