GodFather というバンキング・トロイの木馬:400 以上の金融アプリが標的

GodFather Android Banking Trojan Targeting Users of Over 400 Banking and Crypto Apps

2022/12/21 TheHackerNews — GodFather と呼ばれる Android バンキング・トロイの木馬が、16カ国にまたがる 400以上の銀行および、暗号通貨アプリのユーザーを標的としている。Group-IB が The Hacker Newsと共有したレポートには、「米国/トルコ/スペイン/イタリア/カナダなどのユーザーにサービスを提供する、215 の銀行および、94 の暗号ウォレット・プロバイダ、110 の暗号交換プラットフォームが、そのターゲットに含まれている」と記されている。

このマルウェアは、Android エコシステムを標的とする、数多くの金融トロイの木馬と同様に、精巧なオーバーレイ画面 (Web Fakes) を生成し、ターゲット・アプリ上に表示することでユーザーの認証情報を盗み出そうとする。


2021年6月に Group-IB が検出し、2022年3月に ThreatFabric が公にした GodFather は、Android の Accessibility API を悪用するネイティブ・バックドア機能も搭載し、ビデオ/キー入力/スクリーンショット/SMS ログ/通話ログなどを窃取する。


Group-IB の分析により、このマルウェアはバンキング・トロイの木馬 Anubis の後継であり、2019年1月に地下フォーラムでソースコードが流出したものであることが判明している。また、Malware-as-a-Service (MaaS) モデルを介して、他の脅威アクターに配布されているとも言われている。

GodFather と Anubis の類似点は、Command and Control (C2) アドレスの受信方法/C2 コマンドの実装/Web フェイク/プロキシ/画面キャプチャなどに及んでいる。ただし、音声の録音と位置情報の追跡機能は、GodFather では削除されている。

Group-IB は、「興味深いことに、GodFather はロシアおよび東欧などのユーザーを対象外としている。ターゲット・システム環境設定に、それらの言語が含まれている場合には、このトロイの木馬はシャットダウンする。つまり、GodFather の開発者はロシア語圏の者であることが示唆される」と述べている。

GodFather が際立っているのは、Blowfish 暗号を用いてエンコードされた、アクター制御の Telegram チャンル記述を復号することで、Command and Control (C2) サーバ・アドレスを取得する点にある。


ユーザー・デバイスを感染させるために採用された手口は不明だが、この脅威アクターの C2 インフラを調査すると、トロイの木馬化されたドロッパー・アプリが、配布ベクターの1つとして存在することが判明した。

それは、2022年6月の時点で Google Play Store でホストされていた、Currency Converter Plus (com.plus.currencyconverter) というアプリにリンクされている、C2 サーバ・アドレスに紐付けられる。もちろん、その Android アプリ、現在ではダウンロードできなくなっている。

Group-IB が調査した別のアーティファクトは、正規の Google Play Protect サービスになりすまし、起動すると継続的に通知を作成し、インストールされているアプリのリストからは、自身のアイコンを非表示にするというものだ。

今回の調査が行われた背景には、トルコのユーザーを対象とした MYT Müzik アプリを装う大量の GodFather のサンプルを、Cyble が発見したことがある。

Anubis をベースにした Android マルウェアは、GodFather だけではない。2022年7月初旬に ThreatFabric は、Falcon と呼ばれる Anubis の修正版が、ロシア国営の VTB 銀行になりすまし、国内のユーザーを標的にしていたことが判明している。

Group-IB の研究者である Artem Grischenko は、「GodFather の出現は、マルウェア検知/防御プロバイダが製品をアップデートしていく一方で、脅威アクターもツールを編集/更新し、その効果を維持している状況を浮き彫りにしている。GodFather のようなツールを用いる脅威アクターは、特定のアプリに対応した精巧な Web フェイクを作成できる者に限定される。そして、オリジナルと比べて、後継版の方が優れていることがある」と述べている。

文中にもあるように、ものすごい勢いで進化し続ける、モバイル・バンキングトロイの木馬です。最近の目立った記事を拾うだけも、2022年9月4日の「Google Play に侵入/潜伏する SharkBot:狙いはバンキング・ログイン情報の窃取」や、10月28日の「Google Play に5つの危険なドロッパー・アプリ:銀行口座や暗号通貨ウォレットが狙われている」、11月12日の「Sharkbot バンキング・トロイの木馬:Android ファイル・マネージャーとして再登場」などがあります。よろしければ、カテゴリ Finance も、ご参照ください。

%d bloggers like this: