モバイル

Android向けマルウェアとして恐るべき仕組みとビジネスモデルを備える「iBanking」とは?

By Marsmettnn Tallahassee

97%の企業がセキュリティ対策をしてもマルウェアに侵入されているという調査結果が出ているように、常に改造が続けられて進化し、年々攻撃力を増して仕組みも巧妙になっていくマルウェアの数々ですが、新たに存在が確認された「iBanking」というマルウェアは、従来はほとんど見られなかった仕組みを備えていることがアンチウイルスソフトウェア「ノートン」シリーズで有名な「シマンテック」のブログで明らかにされています。

iBanking: Exploiting the Full Potential of Android Malware | Symantec Connect Community
http://www.symantec.com/connect/blogs/ibanking-exploiting-full-potential-android-malware


iBankingはGFFという名前の人物によって作成されたマルウェアで、この手のソフトとしては珍しいサービス型ソフトウェアのビジネスモデルを持つものとなっています。このサービスを利用するユーザー(攻撃者)は最大で5000ドル(約50万円)の利用料を作成者に支払うか、不正に得た「利益」から一定の割合を支払うことでライセンスを取得するというものになっています。一風変わったビジネスモデルを持つものですが、裏を返せばそれに見あうだけの効果が得られるという驚愕のマルウェアということになります。

◆iBankingがターゲットに侵入する仕組み
多くの場合、攻撃者はあらかじめウイルスに感染しているPCを利用して、ターゲットとなる個人のAndroid端末にiBankingをインストールさせるように誘導します。
1.ターゲットとなるユーザーが銀行などの金融機関のウェブサイトを開いた際に、あらかじめPCに侵入させてあるトロイが画面上にポップアップを表示。そのポップアップには、セキュリティ向上のためにモバイル向けアプリをインストールするように促すメッセージが記載されています。
2.ポップアップを目にしたユーザーは、指示に従って電話番号などの詳細情報を攻撃者のサーバへ送信、
3.内容を受け取ったサーバからは、記載された電話番号の端末にiBankingのインストール方法を記したSMSメッセージを送信。ユーザーは金融機関による公式アプリと錯覚してインストールしてしまいます。
4.iBankingがインストールされた端末からは、多くの個人情報などが攻撃者のサーバに送信される、という仕組みになっています。


端末にインストールされたiBankingは、以下のような動作を行うことが判明しています。

・端末の電話番号、ICCID(SIMカードID)、IMEI、IMSI、モデル名、OS名を取得
・送受信されるSMSメッセージを傍受し、サーバへ送信
・通話を傍受し、リアルタイムでサーバへ送信
・通話を攻撃者が指定した電話番号へ転送
・電話帳に保存された情報をサーバへ送信
・マイクを使って周囲の音を録音し、サーバへ送信
・SMSメッセージを送信
・GPS情報の取得
・ファイルシステムへのアクセス
・プログラム一覧へのアクセス
・管理者権限を取得している場合には、マルウェア検出を防止
・管理者権限を取得している場合には、端末を工場出荷状態にリセット
・難読化されたプログラムコード

◆iBankingが悪用される方法
iBankingを最も活用しているとみられているのはNeverquestと呼ばれるサイバー犯罪集団です。NeverquestはTrojan.Snifulaに独自の改造を施したマルウェアを用いて数千人にも上る被害者を生みだしている集団で、国際金融機関などに対して行う中間者攻撃(MITM攻撃)を補強するための手段としてiBankingを導入しているとみられています。主にネットバンキングの際に発行されるワンタイムパスワードを盗み見てハッキングを行っているのですが、利用されている電話番号の多くが西ヨーロッパで使われているものであることから、Neverquestも西ヨーロッパを中心に活動していると考えられています。

◆対策
iBankingの活動を検知しているシマンテックでは、すでにこの脅威をAndroid.iBankingとして検出しています。このマルウェアに感染するユーザーの多くは、その前段階としてPCがトロイに感染しているケースが多いため、PCのアンチウイルスソフトでその感染を防ぐことで、iBankingの感染を予防することが可能としています。

被害にあわないためには、ウイルス定義ファイルを最新の状態にしておくことはもちろん、本文中に怪しいソフトウェアのインストールファイル(APK)へのリンクが記載されているメッセージには十分注意すること、悪意のあるAPKが信頼のおけるマーケットプレイスで配布されているケースもあることを頭の片隅に置いておく必要があります。

この記事のタイトルとURLをコピーする

・関連記事
マルウェアを使用して大金を盗み出した複数のウクライナ人ハッカーが初出廷 - GIGAZINE

97%の企業がセキュリティ対策をしてもマルウェアに侵入されている - GIGAZINE

アメリカから輸出されるWi-Fiルーターには盗聴用ツールが仕込まれている可能性 - GIGAZINE

サイバー攻撃に繋がったエストニアの電子投票システムが持つ脆弱性とは - GIGAZINE

「Windows XP搭載PCにもう二度とアップデートはこない」とMicrosoftが再度通告 - GIGAZINE

新着有料アプリでDL数1位のセキュリティアプリが何もしないゴミアプリだったことが判明 - GIGAZINE

1万回以上ダウンロードされたがゴミアプリだった「Virus Shield」購入者にGoogleが払い戻しと約500円を提供 - GIGAZINE

・関連コンテンツ

in メモ,   モバイル,   ソフトウェア, Posted by darkhorse_log

You can read the machine translated English article here.