Latest version of Xenomorph Android malware targets 400 banks
2023/03/10 SecurityAffairs — Android マルウェアである Xenomorph の作者 Hadoken Security Group は、悪意のあるコードを改良し続けている。ThreatFabric の研究者たちが Xenomorph マルウェアを発見した 2022年2月の時点で、Google Play ストア経由での配布が行われ、すでに5万以上のインストールに達していたという。このバンキング・トロイの木馬は、欧州の 56 の銀行を標的とし、顧客のデバイスから機密情報を盗み出すために使用されていた。そのコードの分析により、未実装の機能が存在すること、そして、大量のログが存在することが明らかになり、この脅威の活性化が示唆されている。
Xenomorph は、Alien バンキング・トロイの木馬と重複しているが、Alien とは根本的に異なる機能も持っている。
専門家が注目するのは、Xenomorph が2022年を通じて継続的に改良され、小規模なキャンペーンで配布されている点である。この Android マルウェアは、最初に GymDrop ドロッパーにより配布されたが、その後には、Zombinder でも配布されるようになった。
最近になって発見された新しい亜種は、Xenomorph.C として追跡されるものであり、大幅に改良されていると、専門家たちは警告している。
この新しい亜種は、新しい自動送金システム (ATS : Automated Transfer System) フレームワークに対応しており、主にスペイン/トルコ/ポーランド/米国/オーストラリア/カナダ/イタリア/ポルトガル/フランス/ドイツ/UAE/インドなどの、400以上の銀行や金融機関を標的にできるという。
Threat Fabric が発表したレポートには、「このマルウェアの新バージョンは、すでに機能豊富だった Android Banker に多数の新機能が追加されている。その中でも、完全な ATS フレームワークを実装するために脅威アクターが使用する、Accessibility サービスを介した広範囲なランタイム・エンジンの導入に特徴がある。これらの新機能により Xenomorph は、感染から資金流出までの詐欺チェーンを、完全に自動化できるようになり、流通している Android マルウェアの中でも、最も高度で危険なトロイの木馬の1つとなっている」と記されている。
同社は、「ThreatFabric が特定したサンプルは、いくつかの暗号通貨ウォレットを含む、400以上の銀行および金融機関で構成されるターゲット・リストを特徴としている。具体的に言うと、すべての大陸の金融機関に対応していた以前の亜種と比較して、6倍以上の金融機関をターゲットにしている」と指摘している。
この ATS フレームワークにより、オペレーターの人為的な操作に頼ることなく、認証情報の流出/口座残高の確認/取引の実行/ターゲット・アプリからの金銭の窃取などが自動化されることになる。
この悪意のスクリプトは JSON 形式で受信され、その後に処理され、デバイス上のエンジンで実行される操作のリストに変換されると、研究者たちは説明している。
ThreatFabric は、「Xenomorph が使用するエンジンは、条件付き実行とアクションの優先順位付けを可能にしている。それに加えて、プログラムが可能であり、また ATS スクリプトに取り込むことな、幅広いアクションの選択肢を提供しており、その他のライバルに対して優位に立っている」と述べている。
ATS フレームワークは、Google の認証アプリのような、サードパーティ・アプリから MFA コードを抽出することも可能だという。
この Android マルウェアの作者が、MaaS (malware-as-a-service) を宣伝する Web サイトを開設していることにも、専門家たちは注目している。つまり、MaaS の世界に参入する意図を裏付ける状況にあるとしている。
Xenomorph の最新バージョンは、Cookie スティーラー機能もサポートしている。
ThreatFabric は、「セッション・クッキーは、ユーザーがブラウザで開いているセッションを維持するためのものであり、認証情報を何度も入力する必要性を排除するものだ。その一方で、有効なセッション・クッキーを所持している脅威アクターは、被害者がログインしている Web セッションに、実質的にアクセスできるようになる」と述べている。
同社は、「Xenomorph は、他のマルウェア・ファミリーと同様に、有効な JavaScript インターフェイスを用いてブラウザを起動する。このマルウェアは、ブラウザを用いて悪意のページを被害者に対して表示し、ユーザーを騙して Xenomorph が クッキーを抽出するためのサービスにログインさせる」と警告している。
また、Xenomorph マルウェアは、オーバーレイ攻撃により、ユーザー名やパスワードといった PII を盗み出すことに重点を置いている。さらに、このマルウェアは、Binance/BitPay/Coinbase/Gemini/KuCoin などの、人気の暗号通貨ウォレットもターゲットにしている。
このレポートは、「Xenomorph v3 は、Zombinder を用いた感染から、ATS を用いた自動送金、キーロギングやオーバーレイ攻撃を用いた PII の流出にいたるまで、詐欺チェーン全体を自動化している。さらに、このマルウェア・ファミリーの背後にいる脅威アクターは、自社製品を積極的に公表し始めており、このマルウェアの勢力を拡大しようとする、明確な意図がうかがえる。Google Play ストアのドロッパーを介して、Xenomorph が再配布される可能性があり、その量が増加すると予想している」と結論づけている。
Xenomorph というバンキング・トロイの木馬は 2022年2月の時点で、Google Play ストアを介して5万以上のインストール・ベースを持っていましたが、その亜種である Xenomorph は、自動送金システム (ATS : Automated Transfer System) フレームワークにまで対応しているとのことです。2023/02/27 の 「モバイル・バンキングの脅威:この1年で2倍増した偽装アプリの検出件数」にあるように、この領域におけるマルウェアは凄まじい勢いを持っています。その一方で、2023/02/07 の「英銀行のデジタル・セキュリティ:4つのチェック項目で未だ不十分という評価」は、脅威アクターたちが付け入る隙きが残っていることを示しています。よろしければ、以下の関連記事も、ご参照ください。
2023/03/01:Parallax RAT の標的は暗号通貨企業
2023/02/02:InTheBox は Web インジェクション販売業者
2023/01/05:SpyNote のオープン化:金融機関が標的
2023/01/03:BitRAT マルウェアは $20 で使い放題
2022/12/21:GodFather:400 以上の金融アプリが標的
IoT OT Security News 
You must be logged in to post a comment.