銀行預金を全て奪った後にスマホをリセットしてくるマルウェアが登場

Androidで3年近く猛威を振るってきたリモートアクセス型トロイの木馬「BRATA」がパワーアップしました。新たに登場したBRATAの亜種は、銀行預金を全て奪い去った上にスマートフォンを工場出荷時の状態に戻す機能が確認されています。

How BRATA is monitoring your bank account | Cleafy Labs
https://www.cleafy.com/cleafy-labs/how-brata-is-monitoring-your-bank-account

Android malware can factory-reset phones after draining bank accounts | Ars Technica
https://arstechnica.com/information-technology/2022/01/android-malware-can-factory-reset-phones-after-draining-bank-accounts/

BRATAは2019年1月にセキュリティ大手のKasperskyが最初に報告したAndroid向けマルウェア。当時確認されていた機能は、スクリーンショットの撮影やロック解除、デバイス情報の窃取、アプリケーションの起動/アンインストール、テキストの送信などで、主にブラジルを中心で拡大したことから「Brazilian Remote Administration Tool Android(ブラジルのAndroid向け遠隔操作ウイルス)」の頭文字を取って「BRATA」と命名されました。

そんなBRATAに関する最新の報告で、「銀行アプリから預金を盗み出す」「スマートフォン自体を工場出荷時の状態に戻して証拠を全て抹消する」という機能が追加されていることが明らかになりました。セキュリティ企業のCleafyは2021年12月に「BRATA.A」「BRATA.B」「BRATA.C」という3種類の亜種を検出しており、BRATA.AはGPS追跡機能とスマートフォンを工場出荷時にリセットする機能を、BRATA.Bは前述の機能に加えて銀行のログイン情報をキャプチャして窃取する機能を、BRATA.Cは悪意のあるマルウェアを後にインストールさせる踏み台として機能する機能を備えていることが確認されています。

最も脅威度が高いとされるBRATA.Bにおいては、感染したスマートフォンで銀行アプリを操作するとキー入力が全て送信されてしまうことが確認されており、盗み出した情報を使った銀行預金の無断送金が完了した際にはファクトリーリセットを作動させる仕組みまで搭載されているとのこと。なお、BRATA.AとBRATA.Bに搭載されているGPS追跡機能は発表時点では「どのような意図があるかは不透明」とのことで、Cleafyは「後にGPS追跡機能を活用した悪意のある機能が追加されるのでは」と予想しています。

2019年に確認された元祖BRATAはGoogle Playやサードパーティのアプリストアで拡散していましたが、新型BRATAはこうしたアプリストアではなく銀行からの警告を装ったフィッシングメッセージを介して拡散しているとのこと。前述のように元祖BRATAはブラジルで広まったマルウェアでしたが、BRATA.Bはイギリス・ポーランド・イタリア・ラテンアメリカの銀行や金融機関で作動するようになっていることから、対応地域を増やしつつあると示唆されています。