Androidマルウェアが偽のChrome更新プロンプトで銀行口座をハッキング

セキュリティ研究者は、ユーザーの機密情報を盗み、攻撃者が感染したデバイスをリモートで制御できる新しいAndroidバンキングトロイの木馬を発見しました。

「Brokewellは、データ盗難とリモート制御機能の両方を備えた典型的な現代のバンキングマルウェアです」と、オランダのセキュリティ企業ThreatFabricは木曜日に発表した分析で述べています。

ThreatFabricによると、Brokewellはバンキング業界に対して重大な脅威をもたらし、攻撃者にモバイルバンキングを通じて利用可能なすべての資産へのリモートアクセスを提供します。このマルウェアは、サイバー犯罪者が被害者をマルウェアのダウンロードとインストールに誘導するために一般的に使用する偽のGoogle Chromeウェブブラウザの「更新」ページを調査している際に研究者によって発見されました。

以前のキャンペーンを見てみると、研究者たちはBrokewellが人気の「今買って後で支払う」金融サービスやオーストリアのデジタル認証アプリケーションをターゲットにするために使用されていたことを発見しました。

このマルウェアは現在も活発に開発されており、デバイス上のすべてのイベントをキャプチャするためにほぼ毎日新しいコマンドが追加されています。これには、キーストロークや画面に表示される情報、被害者によって起動されたテキスト入力やアプリが含まれます。

ダウンロードされると、Brokewellはターゲットアプリケーション上にオーバーレイスクリーンを作成し、ユーザーの認証情報をキャプチャします。また、独自のWebViewを起動することでブラウザのクッキーを盗むこともでき、onPageFinishedメソッドをオーバーライドし、ユーザーがログインプロセスを完了した後にセッションクッキーをダンプします。

「Brokewellは「アクセシビリティロギング」を備えており、デバイス上で発生するすべてのイベントをキャプチャします：タッチ、スワイプ、表示される情報、テキスト入力、開かれたアプリケーション。すべてのアクションはログに記録され、コマンド＆コントロールサーバーに送信され、侵害されたデバイス上で表示または入力された機密データを効果的に盗みます」とThreatFabricの研究者は指摘しています。

「この場合、すべてのアプリケーションがデータ侵害のリスクにさらされていることを強調することが重要です：Brokewellはすべてのイベントをログに記録し、デバイスにインストールされているすべてのアプリケーションに脅威をもたらします。このマルウェアはさまざまな「スパイウェア」機能もサポートしており、デバイスに関する情報、通話履歴、位置情報を収集し、音声を録音することができます。」

認証情報を盗んだ後、攻撃者はリモート制御機能を使用してデバイスタケーバー攻撃を開始し、画面ストリーミングを実行できます。また、指定された要素に対するタッチ、スワイプ、クリックなど、制御されたデバイス上で実行できるさまざまなコマンドを提供します。

ThreatFabricは、Brokewellのコマンド＆コントロール（C2）ポイントとして使用されているサーバーの1つが、「Baron Samedit」と呼ばれる脅威アクターによって作成された「Brokewell Cyber Labs」と呼ばれるリポジトリをホストしていたことを発見しました。

このリポジトリには、「Brokewell Android Loader」のソースコードが含まれており、これは同じ開発者によって設計されたツールで、Android 13以降でGoogleが導入したアクセシビリティサービスの制限を回避するためのものです。

ThreatFabricによると、Baron Sameditは少なくとも2年間活動しており、他のサイバー犯罪者に対して複数のサービスから盗まれたアカウントをチェックするためのツールを提供しており、マルウェア・アズ・ア・サービスの運用をサポートするために改善される可能性があります。

「このマルウェアファミリーのさらなる進化を予測しています。すでにほぼ毎日の更新が観察されているため、Brokewellは地下チャネルでレンタルサービスとして宣伝され、他のサイバー犯罪者の関心を引き、新しいキャンペーンが異なる地域をターゲットにすることを引き起こす可能性があります」と研究者たちは結論付けています。

したがって、新たに発見されたBrokewellのようなマルウェアファミリーからの潜在的な詐欺を効果的に特定し防止する唯一の方法は、デバイス、行動、アイデンティティリスクを含む指標の組み合わせに基づいた包括的で多層的な詐欺検出ソリューションを使用することです。

Androidマルウェア感染から自分を守るためには、アプリのサイドロードやテキストメッセージ内の短いURLを開くことを避け、インストールするアプリに対して権限を与える際には非常に注意することをお勧めします。さらに、Google Playストア以外からAndroidフォンにアプリやアプリの更新をダウンロードしないでください。

また、Google Play Protectを常に有効にして、現在のアプリやダウンロードする新しいアプリをマルウェアからスキャンすることをお勧めします。追加のセキュリティのために、追加のAndroidウイルス対策ソフトウェアをインストールすることも検討してください。

GoogleはSecurityweekに対し、Google Playサービスを搭載したAndroidデバイスでデフォルトでオンになっているGoogle Play Protectが、このマルウェアの既知のバージョンからユーザーを自動的に保護することを確認しました。

また、悪意のある動作を示すことが知られているアプリに対してユーザーに警告を発したり、ブロックしたりします。これらのアプリがPlayの外部のソースから来た場合でもです。