GodFather Androidバンキング型トロイの木馬が2025年6月19日、新たな仮想化技術を導入した。
Zimperium zLabsの研究者Fernando OrtegaとVishnu Pratapagiriが同日発表したレポートによると、このマルウェアはデバイス上に分離された仮想環境を作成し、正規のバンキングアプリや暗号通貨アプリを完全に乗っ取る。
現在の攻撃対象はトルコの12金融機関で、Akbank Mobile、Fibabanka、Garanti BBVA Mobile、Halkbank Mobil、ING Mobil、Birbank、Kuveyt Türk Mobile、İşCep: Banking & Finance、Şeker Mobil、Türkiye Finans Mobile、Yapı Kredi Mobile、Ziraat Mobileである。
GodFatherは2022年から活動を開始し、2025年4月時点で57か国にわたり1,000以上のサンプルが流通している。マルウェアは世界中の約500のアプリをスキャンし、数億人が使用するグローバル決済、eコマース、ソーシャルメディア、金融、暗号通貨分野のアプリケーションを標的とする。
Qualysの主任プロダクトマネージャーApril LenhardとSalt Securityのサイバーセキュリティ戦略ディレクターEric Schwakeが脅威の深刻さについてコメントした。
From: 
GodFather Banking Trojan Debuts Virtualization Tactic
【編集部解説】
今回のGodFatherマルウェアの進化は、モバイルセキュリティの分野において極めて重要な転換点を示しています。従来のオーバーレイ攻撃では、偽の画面を正規アプリの上に重ねて認証情報を盗む手法が主流でしたが、新しい仮想化技術は根本的に異なるアプローチを採用しています。
この技術の核心は、正規のオープンソース仮想化フレームワークを悪用している点にあります。これらのツールは本来、開発者がアプリのテストや機能拡張のために使用する合法的なものですが、攻撃者はこれらを武器化することで、従来の検出手法を巧妙に回避しています。
技術的な革新性とその意味
仮想化攻撃の最も恐ろしい点は、ユーザーが実際の正規アプリと相互作用していると信じ込んでしまうことです。マルウェアは被害者のデバイス上に完全に分離された仮想環境を構築し、その中で本物のバンキングアプリを実行します。
この手法により、攻撃者はアプリケーションのプロセスに対する完全な可視性を獲得し、リアルタイムで認証情報や機密データを傍受できるようになりました。さらに、root検出などのセキュリティチェックを効果的に回避する能力も持っています。
従来手法との決定的な違い
GodFatherの新しい仮想化技術は、ZIP操作やJavaレイヤーへのコード移行など、静的解析ツールを無効化する高度な回避手法を組み込んでいます。Zimperium zLabsの研究者らは、この組み合わせが「完璧な欺瞞を達成し、視覚的検査による検出をほぼ不可能にする」と指摘しています。
従来のオーバーレイ攻撃では、注意深いユーザーであれば偽の画面を見分けることが可能でしたが、仮想化技術では正規のアプリそのものが動作するため、ユーザーの警戒心を完全に無力化してしまいます。
金融機関への影響と対策の必要性
現在はトルコの12金融機関に限定されている攻撃ですが、マルウェアが世界中の約500のアプリをスキャンしていることから、将来的により広範囲な展開が懸念されます。金融機関にとって、この新しい攻撃手法はバックエンドAPIの保護戦略を根本的に見直す必要性を突きつけています。
Salt SecurityのEric Schwakeディレクターが指摘するように、従来のクライアントサイドセキュリティだけでは不十分であり、「デバイスレベルでの侵害を前提とした多層防御」が求められています。
技術のポジティブな側面と潜在的リスク
仮想化技術自体は、アプリ開発やテスト環境において重要な役割を果たしています。企業が業務アプリを分離して実行したり、開発者が複数のアプリを安全にテストしたりする際に活用されています。
しかし、この技術の悪用により、「デバイス自体が信頼できない環境」という新たなパラダイムが生まれています。正規のアプリでさえスパイ活動や盗難のツールに変えられる可能性があり、ユーザーとモバイルアプリケーション間の基本的な信頼関係が損なわれています。
長期的な影響と将来への展望
Qualysの主任プロダクトマネージャーApril Lenhardは、「完全なアカウント乗っ取りが迅速かつ残忍なサイバーセキュリティのパラダイムシフト」を示していると指摘しています。複雑なハイブリッドインフラストラクチャへの依存度増加により、このクラスの攻撃の使用が今後増加することが予想されます。
この技術の高度さが新しい標準となり、モバイルアプリケーションセキュリティの分野に長期的な変革をもたらす可能性があります。セキュリティ業界全体が、従来の防御手法を根本的に見直す時期に来ていることを示しています。
【用語解説】
オーバーレイ攻撃
従来のモバイルマルウェア攻撃手法の一つで、正規アプリの画面上に偽の画面を重ねて表示し、ユーザーが入力した認証情報を盗む手法である。
サンドボックス
アプリケーションを安全に実行するための分離された仮想環境。通常はセキュリティ目的で使用されるが、攻撃者はこれを悪用してマルウェアを隠蔽する。
フッキングフレームワーク
アプリケーションの動作を監視・変更するためのプログラミング技術。正規の開発用途もあるが、マルウェアがセキュリティ機能を回避するために悪用される。
静的解析ツール
プログラムを実行せずにソースコードや実行ファイルを解析してマルウェアを検出するセキュリティツール。
MITRE ATT&CK
サイバー攻撃の戦術・技術・手順を体系化したフレームワーク。セキュリティ業界で標準的に使用される攻撃パターンの分類体系である。
マルウェア・アズ・ア・サービス(MaaS)
マルウェアをサービスとして提供するサイバー犯罪のビジネスモデル。技術的知識のない犯罪者でも容易にマルウェア攻撃を実行できる。
root検出
Androidデバイスが管理者権限(root権限)を取得されているかを検出するセキュリティ機能。多くのバンキングアプリで実装されている。
ZIP操作
圧縮ファイル形式であるZIPファイルの構造を操作してマルウェアの検出を回避する技術。静的解析ツールを欺くために使用される。
【参考リンク】
Zimperium(外部)
機械学習ベースのモバイル脅威防御プラットフォームを提供するセキュリティ企業
Akbank(外部)
1948年設立のトルコ大手民間銀行、デジタルバンキングサービスの先駆者
Garanti BBVA(外部)
スペインBBVAグループ傘下のトルコ主要銀行、デジタル変革を推進
Halkbank(外部)
1933年設立のトルコ国営銀行、中小企業支援と個人向け金融サービスに特化
ING Turkey(外部)
オランダINGグループのトルコ法人、デジタルファーストアプローチを採用
Kuveyt Türk(外部)
1989年設立のトルコ参加型銀行、シャリア法準拠の金融商品を提供
Yapı Kredi(外部)
1944年設立のトルコ大手民間銀行、デジタル革新とCX向上に注力
Ziraat Bankası(外部)
1863年設立のトルコ最古の国営銀行、農業金融の専門性を活用
Qualys(外部)
1999年設立のクラウドベースセキュリティ・コンプライアンス企業
Salt Security(外部)
API保護特化のサイバーセキュリティ企業、機械学習とAI活用
【参考動画】
İşCep公式チャンネル – 企業向けサービス紹介トルコ・イシュ銀行(İş Bankası)の公式チャンネルによるİşCepアプリの企業向け機能紹介動画。ビデオ通話による口座開設サービスについて解説している。
【参考記事】
Godfather Android banking Trojan discovery – Group-IB Blog
Group-IBによるGodFatherトロイの木馬の詳細分析記事。400以上の国際的な標的を持つこのマルウェアの機能と、前身であるAnubisトロイとの関連性について解説している。
GodFather Malware Targets 500 Banking & Crypto Apps Worldwide – Cyble
Cybleによる最新のGodFatherマルウェア分析記事。世界500の銀行・暗号通貨アプリを標的とし、日本、シンガポール、ギリシャ、アゼルバイジャンなど新たな地域への拡大について報告している。
【編集部後記】
今回のGodFatherマルウェアの進化を見ていると、私たちが日常的に使っているスマートフォンの安全性について改めて考えさせられます。皆さんは、普段使っているバンキングアプリやウォレットアプリをダウンロードする際、どのような点を確認されていますか?また、アプリの動作が少しでも普段と違うと感じた経験はありませんか?
この技術は確かに脅威ですが、同時に仮想化技術そのものは私たちの生活を便利にする可能性も秘めています。皆さんなら、この技術をどのようにポジティブに活用できると思われますか?セキュリティと利便性のバランスを取るために、私たち一人ひとりができることについて、ぜひ一緒に考えてみませんか?
サイバーセキュリティニュースをinnovaTopiaでもっと読む
