Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す

Google Removes Dangerous Banking Malware From Play Store

2022/04/08 DarkReading — 2021年10月に表面化し、現在も野放しになっている、SharkBot と呼ばれる危険な Android バンキング・トロイの木馬は、Google Play という信頼できるモバイル・アプリ・ストアを通じて、マルウェアを配布しようとする脅威アクターの執念を示す最新の事例である。

この不正プログラムは、発見者が次世代型と表現しているように、銀行口座にログインしている被害者に、感染させた Android 端末を使用させ、多要素認証の制御をバイパスし、銀行口座からひそかに不正送金するものだ。SharkBot は、認証情報やクレジットカード情報を盗むことも可能であり、また、検出の複雑化により発見を遅らせるなどの、複数の機能を搭載している。

Check Point Research の研究者たちは、Google Play 上で正規のアンチウイルス・ソフトウェアを装い、その代わりに SharkBot をダウンロードさせる、少なくとも6種類のアプリケーションを、この1ヶ月で確認している。それらの6種類のアプリケーションは、3つの異なる開発者アカウントからアップロードされており、Google Play 上で公開されていたとされる、それほど長くない期間で 15,000回以上もダウンロードされている。

Check Point は、SharkBot を配布しているアプリのうちの4つを、2022年2月23日に発見し、3月3日には Google に報告している。また、同日に別のセキュリティ・ベンダーである NCC Group も、Google の公式モバイル・アプリ・ストアで。同じ脅威を発見したと報告している。それから1週間ほど経ったころに、それらの不正アプリは、Google Play から削除されたし。

しかし、それから1週間後に、さらに2週間後に、Check Point は Google Play 上で、この不正プログラムを含む2つのアプリを発見している。いずれの場合も、Google のセキュリティ・チームは迅速に対応し、それらの脅威をユーザーがダウンロードする前に削除した。Google の広報担当者は、このマルウェアの全ての痕跡が、Play から削除されたことを確認している。

今週のブログで Check Point は、いくつかの SharkBot の機能について分析し、マルウェアの作者が Google の保護を回避し、何度も Play アプリ・ストアにアップロードできた理由を、ある程度まで説明した。SharkBot は、時間差のトリックを用い、また、サンドボックス内での実行の有無を検出していた。さらに、Playアプリの審査プロセスが完了した後に、外部の Command and Control (C2) サーバーから、不正な機能の大半をダウンロードするモジュールを保持していた。

Android 端末向けの不正プログラムでは稀な、Domain Generation Algorithm (DGA) を用いて、SharkBot は C2 ドメインを次々と切り替えるため、脅威のブロックが困難になるという特徴があると、Check Point は述べている。また、SharkBot の Geo Fencing 機能は、中国/ロシア/ウクライナ/インド/ベラルーシ/ルーマニアなどの Android 端末では、マルウェアが実行されないよう制限するものであり、これも注目すべき点だ。

Check Point の Cybersecurity Research and Innovation Manager である Alexander Chailytko は、「DGA は、悪意のクライアントと脅威アクターが、通信を行わずに C2 サーバーを一斉に変更できるアルゴリズムである。この DGA を利用することで、Sharkbot は1週間に35個のドメインを生成することが可能であり、それにより、マルウェア運営者のサーバーをブロックするプロセスが複雑になる」と述べている。

また、SharkBot の悪意の行動は、すべてが C2 サーバーから起動されるため、Google Play でのテスト期間中は、悪意のアプリを OFF 的な状態に保ち、また、ユーザーの端末にインストールされた時点で ON できると、Chailytko は述べている。

高度な機能性

このマルウェアを発見した CleafyNCC Group は、先月のレポートで、SharkBot は Automatic Transfer Systems (ATS) という技術を用いて、SharkBot に感染した Android デバイスの所有者の銀行口座から、送金を開始すると指摘している。この技術は基本的に、被害者が感染したデバイスを使用して銀行口座にログインすると、送金を開始する際に銀行が必要とするフィールドやフォームに、マルウェアが自動入力するというものだ。このような窃取は、多要素チェックの回避が可能であり、事前に登録されたデバイスを用いる信頼されたユーザーにより実行されるため、検出が非常に困難であると、Cleafy は指摘している。

Cerberus Sentinel の VP of Solutions Architecture である Chris Clements は、時間的なトリックや、コード難読化の技術、Geo Fencing を使用するマルウェア・アプリは、検出が困難であると述べている。それらが、Google と Apple の公式アプリ・ストアで定期的に発見されることで、このプラットフォーム上の全アプリの安全性に対して、ユーザーの信頼が損なわれている。

Chris Clements は、モバイル端末のユーザーに対して、ダウンロードするアプリに付与する権限に細心の注意を払うこと、そして、障害を持つユーザーを Android が支援するための、Accessibility Service へのアクセスを要求するアプリに対して、特に注意を払うことを提唱している。

人手不足もあり、モバイル系の記事はパスしてしまうことが多いのですが、SharkBot の名前はよく見ますし、Google Play に粘着する Android バンキング・トロイの木馬ということなので訳してみました。そして驚いたのが、こうしたアプリ・ストアにおける運用を逆手に取るような、よく考えられた狡猾な戦術を持っていることです。もう、モバイル・アプリは増やさないというのが、一番の防衛策なのかと思ってしまいます。

%d bloggers like this: