Anatsa という Android バンキング・トロイの木馬:約 600 の金融アプリを標的としている

Anatsa Android trojan now steals banking info from users in US, UK

2023/06/26 BleepingComputer — 2023年3月以降の新たなモバイル・マルウェア・キャンペーンにより、米国/英国/ドイツ/オーストリア/スイスのオンライン・バンキング利用者に対して、Android バンキング型トロイの木馬 Anatsa が押し付けられている。この悪質な活動を追跡している ThreatFabric のセキュリティ研究者によると、このマルウェアは Google Play ストア経由で配布され、このチャネルだけで既に3万件以上がインストールされているとのことだ。


このトロイの木馬が装うアプリは、PDF スキャナ/QR コードスキャナ/Adobe Illustrator/フィットネス・トラッカーなどであり、30万回以上もインストールされている。

Anatsa の新たなキャンペーン

このマルウェアの配布は6ヶ月間ほど中断していたが、2023年3月に新たなマルバタイジング・キャンペーンが再開され、Google Play から Anatsa ドロッパー・アプリをダウンロードするよう、潜在的な被害者を誘導していた。

Malicious app on Google Play
Malicious app on Google Play (ThreatFabric)


この悪意のアプリは、以前と同様に生産性のカテゴリに属し、PDF ビューア/エディタ/オフィス・スイートなどを装っている。

この悪意のアプリを、ThreatFabric が Googleに報告し、ストアからは削除されるのだが、新たな装いのドロッパーがアップロードされ、キャンペーンは止まらずにいる。

今回、新たに確認された5つのケースでは、いずれのマルウェアもクリーンな状態で Google Play に提出され、その後に悪意のコードへと更新されている。つまり、この手口により、提出時には Google の厳格なコード審査プロセスを回避している。

Timeline of malicious dropper app submissions
Timeline of malicious dropper app submissions (ThreatFabric)

被害者の端末にインストールされたドロッパー・アプリは、GitHub にホストされている外部リソースを要求し、Anatsa ペイロードをダウンロードするが、それも Adobe Illustrator 用のテキスト認識アドオンを装っている。

Payloads retrieved from GitHub
Payloads retrieved from GitHub (ThreatFabric)

ユーザーが正規のバンキング・アプリを起動する際に、Anatsa が行うことは、フィッシング・ページのフォアグラウンドへのオーバーレイや、キーロギングなどであり、それにより、銀行口座/クレジットカード/詳細な支払いなどの金融情報を収集する。

現在の Anatsaトロイの木馬のバージョンは、世界中の銀行機関の、約 600 の金融アプリを標的としているという。

Some of the U.S. banks targeted by Anatsa
Some of the U.S. banks targeted by Anatsa (ThreatFabric)

続いて Anatsa は、窃取した情報を用いて銀行アプリを起動し、被害者に代わってトランザクションを実行することで、運営者の金銭窃取プロセスを自動化し、デバイス上での詐欺を完遂する。

ThreatFabric は、「銀行の不正防止システムがあるが、いつも使用しているデバイスで取引が開始されるため、標的とされる銀行の顧客が不正を検知することは、きわめて困難であると報告されている」と説明している。

盗まれたキャッシュは暗号通貨に変換され、指定された国々のマネーミュールの広範なネットワークへと引き渡される。それらのマネーミュールは、盗んだ資金の一部を収益分配として取得し、残りを攻撃者に送金する。

Android の保護

Anatsa のようなマルウェア・キャンペーンが世界を標的として拡大する中、Android デバイスにインストールされるアプリについて、ユーザーは警戒する必要がある。

たとえ Google Play のような信頼できるストアであっても、疑わしいパブリッシャーから提供されるアプリのインストールは避けるべきだ。常にレビューをチェックし、悪意の行為を示す報告パターンの有無を確認すべきである。

さらに、可能であれば、インストール数やレビュー数が少ないアプリは避け、有名な Web サイトなどで紹介されているアプリをインストールすべきだ。

Google Play 上の多くのアプリが、悪意のアプリと同じ名前を持っているという厄介な問題がある。したがって、Anatsa をプッシュしているパッケージ名とシグネチャ・リストについて、ThreatFabric レポートの Appendix で確認し、もし、それらがインストールされている場合には、Android デバイスから直ちに削除することを推奨する。

BleepingComputer は Google に対して、ドロッパー・アプリの悪意のアップデートを、Anatsa の運営者が Play ストアに提出する方法と、報告されたドロッパーを迅速に交換する方法を説明するよう求めたが、この記事の公開までにコメントは得られなかった。

更新 6/27 – Google の広報担当者は、「これらの特定された悪質なアプリは、すべて Google Play から削除され、開発者は BAN された。また、Google Play プロテクトは、Google Play サービスを利用する Android 端末上で、このマルウェアの混入が判明しているアプリを自動的に削除し、ユーザーを保護する」というコメントを BleepingComputer に返信した。

Google Play で配布される、Android バンキング・トロイの木馬は、日に日に進化し、その攻撃対象を拡大し続けています。文中にもあるように、運営者の金銭窃取プロセスを自動化することで、大規模なキャンペーンを支えようとしているようです。よろしければ、以下の関連記事も、ご参照ください。

2023/06/09:バンキング AitM Phishing:Microsoft が警告
2023/03/23:Nexus:450 種類の金融アプリがターゲット
2023/03/10 :Xenomorph は最凶のバンキング・トロイの木馬