バンキングアプリを装うAndroid版マルウェア、パート2

Android版バンキングマルウェアの新しい亜種は、さらに多くのドイツの銀行や、人気の高いソーシャルメディアアプリなどを標的にしている

概要

前回のブログでは、ドイツの大手銀行のモバイルアプリケーションを装い、ユーザーを騙してバンキング認証情報を引き出す新しいAndroid版バンキングマルウェアについて詳しく分析しました。今週は、拡大し続けるこのマルウェアの新しい亜種をいくつか検出しましたので、今回のブログでは新たにわかったことをお伝えします。

マルウェアのインストール

検出した亜種の1つは、ドイツの別のモバイルバンキングアプリを装っていました。インストールされると、そのアイコンがランチャーに表示されますが、それは銀行の正規アプリのアイコンに非常によく似たマルウェアアプリのアイコンです。

以前お伝えしたこのマルウェアの亜種と同様に、ユーザーがマルウェアアプリを起動すると、下図のように、デバイス管理者権限が要求されます。


図1:デバイス管理者権限の要求

デバイス情報の収集

マルウェアアプリケーションがインストールされると、デバイス情報が収集され、攻撃者のサーバーに送信されます。デバイストラフィックをキャプチャしたものを以下に示します。マルウェアバージョンが「061116xxxxx」になっていますが、これは、攻撃を開始するために標的のバンキングアプリを装っていることを示しています。


図2:マルウェアのデバイストラフィックのキャプチャ

クレジットカード情報を盗み出すために、Google Playを標的に

銀行を狙うだけでなく、マルウェアのこの新しい亜種に含まれる以下の主要コードでは、標的となるアプリとしてGoogle Playも加えられています。


図3:Google Playをターゲットにするマルウェア

前回のブログでは、変数a.cは空であることを示し、フォーティネットでは、マルウェアの今後の活動で使用されるのではないかと推測していることをお伝えしました。この亜種では、標的としてGoogle Playが追加されています。攻撃者は新たな標的を追加していく可能性が高いと考えられます。

このマルウェアの別のバージョンでは、ユーザーがGoogle Playアプリを初めて起動する際に、Google Playアプリの上に図4のような画面がオーバーレイ表示されます。


図4:Google Play上にオーバーレイ表示される画面

そしてユーザーを騙して、図5のようにクレジットカード情報(カード番号、所有者名、有効期限、セキュリティコード)を入力させます。


図5:VISAカード情報の入力

ユーザーがクレジットカード情報を送信すると、マルウェアはその情報をC2サーバーに送信します。トラフィックを以下に示します。


図6:クレジットカード情報をC2サーバーに送信


図7:オーバーレイ表示される「Verified by VISA」画面

これでマルウェアは、ユーザーが送信したカード番号が有効かどうかを確認できるようになります。有効であれば、マルウェアは偽の「Verified by VISA」画面をポップアップ表示します。その画面には、図8のように、誕生日、住所、郵便番号、課金先電話番号、パスワードが含まれています。


図8:「Verified by VISA」画面で情報を入力

ユーザーが情報を入力して送信すると、このデータもC2サーバーに送信されます。トラフィックを以下に示します。


図9:「Verified by VISA」情報をC2サーバーに送信

ユーザーがMasterCardのカード情報を送信すると、図10のように別の画面が表示されます。


図10:MasterCardのカード情報を入力

情報を送信すると、マルウェアは偽の「MasterCard SecureCode」画面をポップアップ表示します。VISAの偽の画面と同様、この画面にも図11のように、誕生日、住所、郵便番号、課金先電話番号、パスワードが含まれています。


図11:オーバーレイ表示される「MasterCard SecureCode」の画面

ユーザーがAmerican Expressのクレジットカード情報を送信すると、図12のような画面が表示されます。


図12:American Expressのカード情報を入力

ユーザーが情報を送信すると、マルウェアはまた偽の「American Express SafeKey」画面をポップアップ表示します。その画面にも、図13のように、誕生日、住所、郵便番号、課金先電話番号、パスワードが含まれています。

これらの手口は、ユーザーの全クレジットカード情報を取得するよう考えられており、すべて本物であるとユーザーに信じ込ませるために、「Verified by VISA」、「MasterCard SecureCode」、または「American Express SafeKey」の画面が使用されています。

標的となる銀行リスト

この亜種は、標的として新たに銀行をいくつか追加しており、その中にはオーストリアの5つの銀行も含まれています。この動向から、フォーティネットではこのマルウェアは地域全体に広がり続けていくと予測しています。

新しいC2サーバー

亜種は、以下のように6台のC2サーバーも新たに使用しています。

hxxps://loupeahak[.]com/flexdeonblake/
hxxps://chudresex[.]cc/flexdeonblake/
hxxps://chudresex[.]at/flexdeonblake/
hxxps://memosigla[.]su/flexdeonblake/
hxxps://sarahtame[.]at/flexdeonblake/
hxxps://loupeacara[.]net/flexdeonblake/

人気の高いソーシャルメディアアプリをターゲットに

ほかにも、フォーティネットで発見したこのマルウェアファミリの中には、Flash Playerアプリを装う亜種が2つあります。それらのバージョンは「081116」となっており、作成日が2016年11月8日であると予測できます。それらの亜種では、人気の高いソーシャルメディアアプリが標的として追加されています。このような偽装アプリのリストを以下に示します。

com.instagram.android
com.facebook.katana
com.android.vending
com.skype.raider
com.viber.voip
com.whatsapp

このマルウェアの動作を調べるために、偽装されたSkypeアプリケーションを使用してみます。

ユーザーがSkypeアプリを起動すると、図14で示すように、正規アプリの上にマルウェアの画面がオーバーレイ表示されます。


図14:Skypeでオーバーレイ表示される画面

画面には、「あなたの情報を確認できないため、あなたのアカウントは凍結されました。引き続きお使いいただくには、ここでアカウントを認証してください。」というメッセージが表示されています。これは典型的なフィッシング詐欺の画面です。

次の画面で、クレジットカード情報を入力するようユーザーを促します。


図15:Skypeにクレジットカード情報を入力


図16:Skypeに課金情報を入力


図17:「Verified by VISA」に情報を入力

上の図から、このマルウェアはユーザーの全クレジットカード情報を盗み出すよう設計されていることがわかります。また、ユーザーに正規の取引であると信じ込ませるために、「Verified by VISA」、「MasterCard SecureCode」、「American Express SafeKey」の画面も使用されています。トラフィックを以下に示します。


図18:クレジットカードの全情報をC2サーバーに送信

フィッシング詐欺の画面をオーバーレイ表示させる手口は、別のソーシャルメディアアプリでも使用されており、Skypeアプリで表示されるものと類似しています。

ソリューション

マルウェアの検体は、フォーティネットのウイルス対策シグネチャAndroid/Banker.GT!tr.spyおよびAndroid/Marcher.GT!trにより検知されます。盗まれた情報をC&Cサーバーに送信するトラフィックは、フォーティネットのIPSシグネチャAndroid.Banker.German.Malware.C2により検知できます。

まとめ

フォーティネットの分析に基づくと、このマルウェアファミリは高い拡張性を備えています。攻撃者は新しいアプリリストを容易にコードに追加できます。このような新しい亜種は、クレジットカード情報を盗み出すために、Google Playアプリや人気の高い他のソーシャルメディアアプリを標的として追加しています。また、ユーザーに正規の取引であると信じ込ませるために、「Verified by VISA」、「MasterCard SecureCode」、「American Express SafeKey」の画面が使用されています。さらに、オーストリアのいくつかの銀行が新たに標的として追加されています。フォーティネットでは、標的となる銀行が世界中に広がり続けると予測しています。

フォーティネットでは、今後もこのマルウェアファミリの活動を監視し続け、フォーティネット製品において適切なセキュリティソリューションが開発されるようにしていきます。

付録

SHA256ハッシュ

5366f4006c939cd06af8545bb6d19667cf475ac3b7110305bb11feb6ea28e5c8
ae269a51b3acdf4507b00dd220a67ee5b41b7a6fab8924c63eb51aeab4e45fab
b2daba5ac747439abd70522bde0e49c867e88cf2c9a7443177d944357d7a2576

C&Cサーバー

loupeahak[.]com
chudresex[.]cc
chudresex[.]at
memosigla[.]su
sarahtame[.]at
loupeacara[.]net
polo777555lolo[.]at
polo569noso[.]at
wahamer8lol77j[.]at