モバイル・バンキング:29 種類のトロイの木馬が 1,800 のアプリを狙っている

29 malware families target 1,800 banking apps worldwide

2024/01/02 HelpNetSecurity — 指先で金融という欲求を満たすモバイル・バンキングは、すべての年齢層でオンライン・バンキングを上回っていると、Zimperium が述べている。しかし、このモバイルの急増により、金融詐欺が劇的に増加している。この 2023年の調査では、61 カ国の 1,800 のバンキング・アプリを、29 件のマルウェア・ファミリーが標的にしていたことが明らかになった。これに対し、2022年の報告書では、600 のバンキング・アプリを標的とする、10 件のマルウェア・ファミリーが発見されていた。

モバイル端末を狙うバンキング・トロイの木馬が後を絶たない

バンキング・トロイの木馬は、モバイル・デバイス上で機能を持続し、セキュリティや検知を回避する能力を高めることで、進化と成功を続けている。急速に変容する脅威アクターからの投資が増加し続け、従来のセキュリティ対策では追いつくことができない状況に陥っている。

この調査では、依然として米国の銀行が、金銭的な動機に基づく脅威アクターに、最も狙われていることが明らかになった。2023年にバンキング・マルウェアの標的となった米国の銀行は 109社であり、次に標的となったのは英国の 48社と、イタリアの 44社である。また、この報告書は、トロイの木馬が単純なバンキング・アプリを超えて進化しており、暗号通貨/ソーシャルメディア/メッセージング・アプリを標的にしているとも指摘している。

Zimperium の Chief Scientist である Nico Chiaraviglio は、「現時点におけるモバイル・バンキングのセキュリティは、多数の脅威アクターたちがもたらす深刻なリスクにより、きわめて厳しい状況にある。この報告書が示すのは、バンキング・トロイの木馬の洗練性/適応性/拡張性と、世界中のモバイル・アプリへの広範な影響である。私たちは、従来の防御を新たな方法で迂回するトロイの木馬を目の当たりにしている。したがって、このようなインテリジェントな敵対者に対抗する銀行や金融機関にとっては、包括的で即応性の高いオンデバイス・モバイル・セキュリティの採用が重要となる」と述べている。

従来からのバンキング・アプリケーションは、依然として主要な標的であり、その侵害件数は 1,103 に上り、全体で 1,800 件とされる標的の 61% を占めている。

標的となった銀行の数で上位を占めるバンキング・マルウェア・ファミリは、Hook/Godfather/Teabot となっている。2022年の報告書に登場した 19件のマルウェア・ファミリは、新たな機能により進化しており、2023年には 10件のマルウェア・ファミリが、新たな脅威として追加されている。

新たなバンキングマルウェア・ファミリーの新機能
  • Automated Transfer System (ATS):自動送金システム:不正送金を容易にする手法。
  • Telephone-based Attack Delivery (TOAD):電話ベースの攻撃配信: 信頼を得た後に、さらなるマルウェアのダウンロードのために電話をかける手法。
  • Screen Sharing:画面共有: 被害者のデバイスに物理的にアクセスすることなく、遠隔操作するための機能。
  • Malware-as-a-Service (MaaS): マルウェア作成ツールをレンタルまたは販売するオンライン・ビジネス・モデル。

これらの調査結果は、ダイナミックで拡大するモバイル脅威の状況を示している。つまり、今日のモバイル・バンキング・トロイの木馬に対抗するためには、包括的かつ自律的に焦点を絞り続ける、モバイル・ファースト・セキュリティ戦略が必要となる。標準的なアプローチから、現実の脅威を考慮したアプローチへと進化する中で、組織は脅威に反応するのではなく、プロアクティブなリアルタイムの脅威の可視化と保護を受け入れる必要がある。

Zimperium の CTO である Jon Paterson は、「数百万台のデバイスを監視することで、モバイル・バンキング向けマルウェアが、広範囲かつグローバルに成功を収めていることを特定する、驚くべき数字が判明した。サイバー犯罪者は、従来のバンキングアプリや FinTech & Trading アプリをターゲットにし続けている」のように述べている。

マルウェアからアプリを守る

このような脅威の高まりに対処するためには、以下のことを行う必要がある:

高度化する脅威への確実な対応: 高度なコード保護技術により、アプリケーションを攻撃するコストと労力が、攻撃者の利益を上回るレベルまで、セキュリティ体制を強化する。

包括的な脅威のモニタリングとモデリングのためのランタイム可視性の実装: モバイル・アプリケーション・セキュリティのリーダーは、デバイス/ネットワーク/アプリケーション/フィッシングなど、さまざまな脅威ベクターにわたって、実行時の可視性を達成する必要がある。このリアルタイムの洞察により、リスク/脅威/攻撃を積極的に特定し、報告することが可能になる。

リアルタイムの脅威対応に向けたオンデバイス・プロテクションの導入: モバイル・アプリケーション・セキュリティのリーダーは、脅威を検知した際にアプリが即座にアクションを起こせるような、オンデバイス保護メカニズムの導入を優先すべきである。この対策は、ネットワーク接続やバックエンド・サーバとの通信に依存しない、自律的なものでなければならない。

詐欺被害の拡大/運用コストの増加/消費者の信頼低下/ブランドへの影響などにより、モバイル・バンキング詐欺がさらに蔓延していることは明らかだ。

2023年を通じて、ちょっとヤバそうと感じていた、モバイル・バンキングを狙うトロイの木馬の状況がマトメられている記事です。Zimperium のページから、2023 Mobile Banking Heists Report が PDF でダウンロードできますので、よろしければ、Mobile + Banking で検索と併せて、ご参照ください。