米国のモバイル詐欺が 32% も急増:バンキング・マルウェアが蔓延

32% Surge in US Mobile Fraud! Banking Malware Run Rampant as Market Booms

2023/12/18 SecurityOnline — 急速に進化するモバイル・バンキングの世界において、洗練されたバンキング・トロイの木馬による執拗な脅威という、増大する危険に光を当る新たなレポートが公表された。Zimperium が詳述する 2023 Mobile Banking Heists Report は、モバイル・バンキング・アプリケーションを狙った金融詐欺が、劇的にエスカレートしている状況を明らかにしている。

モバイル・バンキング市場は、2032年までに $7 billion に達する見込みであり、従来からのオンライン・バンキング市場を、すべてのユーザー年齢層で上回っている。しかし、この急増と並行した金融詐欺の増加があり、この種の攻撃の重要なベクターとして、不正なモバイル・アプリケーションの存在が認識されている。

Zimperium の調査では、今年新たに確認された 10 のアクティブなファミリーを含む、29 のバンキング・マルウェア・ファミリーが分析され、憂慮すべき状況が明らかにされている。それらのマルウェアは、従来からの 1103 件のバンキング・アプリと、増加する FinTech および Trading アプリを標的としており、金融搾取を執拗に追求している。これらのトロイの木馬の感染範囲は 61 カ国に及び、世界的な影響を強めている。

新しいバンキング・マルウェア・ファミリー | 画像: Zimperium

これらの脅威の洗練度を明らかにしているのは、認証情報を抽出して不正な取引を開始することで、詐欺を自動化する Automated Transfer System (ATS) モジュールなどの進化である。

バンキング・トロイの木馬は、正規のアプリを装い、モバイル・デバイス上のバンキング・アプリケーションを悪用するものだ。バンキング・トロイの木馬の主な目的は、バンキングの認証情報や金融情報を盗み出し、不正な取引を促進することにある。

調査対象となったマルウェア・ファミリーの半数以上が、キーロギング/画面オーバーレイ/SMS 窃取といった高度な機能を備えている。その結果として、強力なパスワード/ドメインベース・セキュリティ/OTP/MFA などのセキュリティ対策が、さらなる危険にさらされている。

オープンソースのマルウェアや Malware-as-a-Service の台頭により、マルウェアの亜種が急増し、従来のシグネチャ・ベースのセキュリティ・アプローチを圧倒している。たとえば、 Saderat マルウェアには 28 種類以上の亜種が存在し、一般的なセキュリティ・ソリューションによる検出は困難だとされる。

さらに、OWASP の Mobile Application Security Verification Standard などの標準があっても、大半の正規アプリが準拠していないため、リバースエンジニアリングや改ざんなどに対して脆弱である。

現代の脅威アクターたちは、QRコード/SMS/ソーシャルメディアだけではなく、セキュア・メッセージング・アプリといった多様なチャネルを利用してフィッシング URL を配信している。そのため、モバイルとブランドが混然となる状況では、脅威の特定が難しくなる。

バンキング・マルウェアが、従来からのセキュリティ対策を上回っている状況において、モバイル・アプリのセキュリティ・ソリューションを強化することは極めて重要である。具体的に言うと、リアルタイムでの脅威の可視化/ゼロデイ防御/デバイス上での緩和策の提供/セキュリティ機能の改善などが、進化する脅威に対抗するために不可欠となる。

バンキング・マルウェアが巧妙化することで、経済的な影響は甚大なものとなる。金融機関にとっては、不正行為による損失と、運用コストの増加が問題となり、全体的な収益性への影響につながっている。消費者にとっては、金融詐欺のリスクが高まり、サイバー衛生の強化が必要となる。

2023 Mobile Banking Heists Report が浮き彫りにするのは、デジタル・バンキング時代の重要な岐路に、私たちが立っているという状況である。モバイル・バンキング・アプリケーションが、日常的な金融活動において不可欠となるにつれて、重要になってくるのは強固なセキュリティ対策と消費者の意識である。モバイル・バンキングのマルウェアの構造/影響/傾向を理解することは、デジタル時代の金融資産を保護する上で、業界と消費者の双方にとって必要不可欠である。

モバイル・バンキングが、サイバー犯罪の大きなターゲットになるという状況は、2023/06/26 の「Anatsa という Android バンキング・トロイの木馬:約 600 の金融アプリを標的としている」のことから、なんとなく予測できていましたが、すでに現実のものとなっているようです。バンキング・アプリをダウンロードする際には、その出処を慎重に確認してください。よろしければ、Banking で検索も、ご利用ください。