Android マルウェアは世界のさまざまな地域で大混乱を引き起こし、モバイル デバイスに感染して、何百もの銀行や暗号通貨プラットフォームへのアクセス資格情報を盗んでいます。 BleepingComputerが報告したように、これはGodFatherであり、まったく新しい脅威ではありませんが、最近進化して非常に危険なものになっています。
GodFather がどのように機能するかを最も簡単に説明すると、次のようになります。マルウェアが Android スマートフォンまたはタブレットに感染すると、デバイスをスキャンして、攻撃対象となる特定のアプリケーションを探します。ターゲットのアプリがデバイス上にあることを検出した場合、そのログイン画面を偽装して、ユーザーをだましてユーザー名とパスワードを入力させることができます。
もちろん、プロセス全体はそれよりもはるかに複雑であり、この悪意のあるソフトウェアが非常に重要な洗練レベルに達していることが明らかです。このマルウェアの配布に関して、セキュリティ専門家は、このマルウェアを含むアプリが Google Play ストアで発見されているものの、主な感染方法はまだ不明であると述べています。
注目すべき事実は、ゴッドファーザーの視野に入っているアプリケーションの数です。これまでのところ、この Android マルウェアは419 の金融アプリになりすますことができます。合計のうち、215 が銀行に相当します。 110 は暗号通貨取引所からのもので、残りの 94 は暗号資産ウォレットからのものです。
この悪意のあるソフトウェアの範囲は世界中に広がっていますが、影響を受けるバンキング アプリの大部分は米国の金融機関に該当します。スペインの場合、 30 の銀行アプリケーションのアクセス画面を改ざんする攻撃が記録されています。
GodFather、銀行と暗号通貨プラットフォームを標的とする Android マルウェア
マルウェアが Android デバイスに侵入すると、Google Protect になりすましてセキュリティ スキャンを実行します。したがって、一見すると大きな疑いを抱かないツールのアクセシビリティ サービスへのアクセスを要求します。ただし、それが達成されると、携帯電話の操作が「引き継がれ」ます。
BleepingComputer は、悪意のあるソフトウェアが感染した携帯電話を制御し、トロイの木馬の削除を不可能にしていると詳しく説明しています。しかしそれだけではありません。また、テキスト メッセージや通知へのアクセス、画面の録画、通話、外部ストレージ メディアへのデータの保存、さらには Google Authenticator などのアプリからのワンタイム コードのキャプチャも可能です。
しかし、彼がどのようにして銀行や仮想通貨アプリのアクセス画面を偽造することができたのか疑問に思っているなら、話はさらに複雑になります。この Android マルウェアは、C2 サーバー (「コマンド アンド コントロール」) に接続すると、デバイスにインストールされているアプリケーションのリストを送信します。攻撃と互換性のあるアプリの存在が検出された場合は、互換性のある偽のログイン フォームをダウンロードします。
しかし、それだけではありません。悪意のあるソフトウェアはログイン画面を偽装せず、ユーザーが影響を受けるアプリを開いてユーザー名とパスワードを入力するのを待ちます。また、問題のアプリケーションから偽の通知を作成し、ユーザーを騙して資格情報を入力させます。
複数のトリックを仕掛けたトロイの木馬
もう 1 つ考慮すべき点は、マルウェアは感染した Android デバイスの認証情報を盗もうとすることです。たとえ携帯電話に、攻撃しようとする 400 以上のアプリがインストールされていない場合でも。このような場合はどうしますか?画面を録画して、ユーザーが他の銀行や暗号プラットフォームで使用するユーザー名とパスワードをキャプチャできます。
最後に興味深い事実として、ゴッドファーザーは感染した携帯電話の言語をスキャンし、特定の言語で設定されている携帯電話を攻撃しません。ロシア人、アゼルバイジャン人、アルメニア人、ベラルーシ人、カザフ人、キルギス人、モルドバ人、ウズベク人、タジク人の場合がこれに該当します。このため、セキュリティ専門家は、マルウェアがロシアまたは他の旧ソ連地域から来たものであると推測しています。
参考資料一覧
- https://www.bleepingcomputer.com/news/security/godfather-android-malware-targets-400-banks-crypto-exchanges/