Hydra トロイの木馬 for Android:ドイツ第二の銀行の 1800万人がターゲット

Hydra malware targets customers of Germany’s second largest bank

2021/10/01 BleepingComputer — 銀行用トロイの木馬 Hydra が、ヨーロッパの インターネット・バンキング・ユーザーに対して、特にドイツ第2位の金融機関である Commerzbank の顧客に対して、再び攻撃を仕掛けているようだ。MalwareHunterTeam は、2年前に開発されたマルウェアが Commerzbank Security という名前で、公式アプリと同じアイコンを使用した悪意の APK (Android Application Package) として、ドイツのユーザーを狙う新たな配布キャンペーンに登場していることを発見した。

これを受けて Cyble の研究者たちが興味を持ち、ファイルをサンプリングして詳細な分析を行ったところ、パーミッションへの広範なアクセスが可能な、強力なフィッシング・ツールであることが判明した。

多様なパーミッション

Cyble の調査によると、Hydra が混入したアプリは 21個のパーミッションを要求しており、その中でも BIND-ACCESSIBILITY_PERMISSION と BIND_DEVICE_ADMIN は、きわめて危険なパーミッションを要求している。前者は、このアプリが常にバック・グラウンドで動作し、デバイスとの間でやり取りされるすべてのデータを監視・傍受することを保証する。後者は、実質的にデバイスの管理者権限をトロイの木馬に与えていることになるため、悪用の可能性が広がる。

このトロイの木馬が使用する、その他の危険なパーミッションは以下とおりである。

Permission NameDescription
CHANGE_WIFI_STATEModify Device’s Wi-Fi settings
READ_CONTACTSAccess to phone contacts
READ_EXTERNAL_STORAGEAccess device external storage
WRITE_EXTERNAL_STORAGEModify device external storage
READ_PHONE_STATEAccess phone state and information
CALL_PHONEPerform call without user intervention
READ_SMSAccess user’s SMSs stored in the device
REQUEST_INSTALL_PACKAGESInstall applications without user interaction
SEND_SMSAllows the app to send SMS messages
SYSTEM_ALERT_WINDOWAllows the display of system alerts over other apps

これらの権限を悪用して、SMS コンテンツへのアクセス、および、SMS の送信、システムアラートの表示、デバイス設定の変更、通話の実行、外部ストレージの読書、WiFi 設定の変更、追加アプリのインストールなどを行える。これらの活動はいずれも、被害に遭ったユーザーの操作を必要としないため、マルウェアがデバイスに感染してからでは、すでに手遅れとなる。

新機能や拡張機能の登場

Commerzbank の偽アプリは、被害者の連絡先リストへの大量の SMS 送信や、他のアプリへのオーバーレイ作成、端末の画面キャストの送信、アイコンを隠蔽、OTP (One Time Pssword) やスクリーンロック暗証番号の窃取などを行う。

注目すべき新機能は、以前の Hydra の亜種では記録されていなかった、Accessibility サービスを悪用する TeamViewer の組み込みである。また、このトロイの木馬の検出を困難にするために、暗号化された TOR 通信の使用、SOCKS Proxy によるリダイレクトの有効化、Android のデフォルトのセキュリティ・コンポーネントである Play Protect の無効化などの機能強化が行われている。

膨大な数のターゲット

Commerzbank 銀行は、ドイツ国内で 1,300万人、中欧/東欧で 500万人の顧客を抱えている。したがって、潜在的なターゲットは合計で 1,800万人となり、マルウェア配信者にとって格好のターゲットになっている。一般的には、SMS/SNS/Forum への投稿などを利用して、スマートフォンに APK をダウンロードさせる、悪意のランディング・ページへと被害者を誘う。Hydra の罠にかかってしまったと思えるユーザーは、信頼できるベンダーのセキュリティ・ツールを使ってデバイスをクリーニングした後に、工場出荷状態へとリセットすることが推奨される。信頼できるソース (銀行Web や Google Play ) からの APK のみをインストールし、オンライン・バンキングのアカウントで 2FA を有効にし、デバイスの OS や AV を最新の状態に保つべきだ。

こうしたモバイル・マルウェアに関する記事は、かなり多くあるのですが、多すぎるので翻訳を諦めている、というのが正直なところです。ただ、オンライン・バンキングを大規模に狙うというのと、大量のパーミッションを奪うというのは、ちょっとめずらしいと思い、ポストしてみました。文中にもあるように、この種のアプリは、対象となる銀行の Web からダウンロードし、その銀行も含めて、あらゆる SMS/メールを無視する使い方が安全だと思います。

%d bloggers like this: