Google Play に侵入/潜伏する SharkBot:狙いはバンキング・ログイン情報の窃取

SharkBot malware sneaks back on Google Play to steal your logins

2022/09/04 BleepingComputer — マルウェア SharkBot の新バージョン/アップグレード版が Google Play ストアに復活し、数万回インストールされているアプリを介して、Android ユーザーのバンキング・ログイン情報を狙っていることが判明した。 このマルウェアは2つの Android アプリに存在し、Google の自動審査に提出された時点では、悪意のコードは含まれていなかった。ただし、ユーザーがドロッパー・アプリをインストールし起動した後に発生するアップデートで、SharkBot が追加されていたという。

NCC グループの Fox IT ブログ記事によると、悪質なアプリは Mister Phone Cleaner/Kylhavy Mobile Security の2つで、合計で6万インストールを数えるという。

SharkBot をドロップする2つのアプリ (Fox IT)

この2つのアプリケーションは Google Play から削除されたが、それらをインストールしてしまったユーザーは、依然として危険な状態にあるため、手動で削除する必要がある。

進化した SharkBot

イタリアのオンライン詐欺管理/防止企業である Cleafy のマルウェア・アナリストたちは、2021年10月に SharkBot を発見した。そして 2022年3月には、NCC Group が Google Play 上で、これを搭載した最初のアプリを発見している。

当時、このマルウェアは、オーバーレイ攻撃の実行/キーロギングによるデータの窃取/SMS メッセージの傍受などを可能にしていた。また、脅威アクターがアクセシビリティ・サービスを悪用することで、ホストデバイスを完全にリモート・コントロールすることも可能だった。

2022年5月に ThreatFabric の研究者たちは、ドメイン生成アルゴリズム (DGA : domain generation algorithm)/更新された通信プロトコル/完全にリファクタリングされたコードなどを搭載する、SharkBot 2を発見した。

2022年8月22日には Fox IT の研究者たちが、このマルウェアの新バージョン 2.25 を発見し、銀行口座のログイン情報からクッキーを盗む機能が追加されていることを確認した。さらに、新しいドロッパー・アプリは、以前のように Android の Accessibility Services を悪用することはないという。

Fox IT は、「従来のドロッパー・アプリは、Accessibility 権限を悪用することで、UI に表示されている全てのボタンを自動的にクリックし、Sharkbot のインストールを可能にしていた。しかし、この新しいバージョンの Sharkbot 用ドロッパーは、Accessibility 権限を悪用する代わりに、Command and Control (C2) サーバにリクエストを送信し、Sharkbot の APK ファイルをダイレクトに受信する。これまでに行われていたように、自動転送システム (ATS) 機能を用いて、マルウェアのインストール手順と一緒に、ダウンロード・リンクを受け取ることはない」と 詳述している。

POST request for downloading SharkBot
SharkBot をダウンロードするための暗号化された POST リクエスト (Fox IT)

インストールが完了すると、このドロッパー・アプリは C2 サーバに接続し、悪意の SharkBot の APK ファイルを要求する。続いて、アップデートが可能であることをユーザーに通知し、APK をインストールさせ、必要な全権限を付与するよう求める。

SharkBot は、自動検出をより困難にするため、RC4 アルゴリズムを使用して、ハードコードされた設定を暗号化された形で保存する。

クッキーを狙う Shark

従来からの、オーバーレイ攻撃/SMS傍受/遠隔操作/キー・ロギングシステムなどの機能は、SharkBot 2.25 にも引き続き搭載されているが、更にクッキー・ロガーが追加されている。

New function to steal cookies
クッキーを盗む新機能 (Fox IT)

被害者が銀行口座にログインすると、SharkBot は新しいコマンド logsCookie を使用して、有効なセッション・クッキーを取得し、それを C2 に送信する。

クッキーに含まれるものとしては、フィンガープリント・チェックや、場合によってはユーザー認証トークン自体をバイパスするのに役立つソフトウェア、位置情報などがあるため、アカウント乗っ取りに役立つ。

Fox IT は、調査中に、ヨーロッパ (スペイン/オーストリア/ドイツ/ポーランド/オーストリア) と米国で、新たな SharkBot キャンペーンを観測した。研究者たちは、このマルウェアが一連の攻撃でキーロギング機能を使用し、標的とする公式アプリからダイレクトに機密情報を盗んでいることを発見した。

このマルウェアの改良版が利用可能になったことで、SharkBot のキャンペーンが継続し、マルウェアが進化していくと、Fox IT は予測している。

SharkBot の怖さについては、2022年4月8日の「Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す」で、すでにお伝えしているとおりです。その SharkBot が、さらに強化されたようです。また、セッション・クッキーの取得については、8月11日の「Cookie セッション・ハイジャックの脅威:ZTNA/MFA ツールの大半は無力化される」に詳細が記されています。よろしければ、ご参照ください。

%d bloggers like this: