MysteryBot: 新しいAndroidマルウェアがキーロガー、ランサムウェア、バンキングトロイの木馬を融合

MysteryBot Androidマルウェアはバンキングアプリを狙う

ThreatFabricのセキュリティ研究者たちは、まだ開発中のAndroidマルウェアの実験的な形態を発見しました。研究者によると、この新しいマルウェアは、Androidデバイス上で動作するバンキングトロイの木馬、キーロガー、ランサムウェアの機能を融合させています。

MysteryBotと名付けられたこのマルウェアは、昨年大混乱を引き起こした悪名高いLokiBotに驚くほど似ており、新しいトリッキーな機能を備えています。これは、同じマルウェア開発者によって開発された可能性が高いことを意味します。最初はLokiBotの改訂版だと考えられていましたが、研究者たちはこのマルウェアがはるかに多くの機能を持っていることを発見しました。

「そのネットワーク活動の調査中に、MysteryBotとLokiBotのAndroidバンカーが同じC&C [コマンド＆コントロール]サーバー上で動作していることがわかりました。これにより、この新たに発見されたマルウェアはLokiBotのアップデートであるか、同じアクターによって開発された別のバンキングトロイの木馬であるという早期の結論に至りました」とThreatFabricはブログ投稿で述べています。

MysteryBotは、影響を受けたデバイスを完全に制御する卓越した能力を示します。電話をかけたり、連絡先情報を盗んだり、テキストメッセージをコピーしたり、着信を別のデバイスに転送したり、キーロガーとして機能したりするなど、さまざまな悪意のある活動を実行できます。また、外部ストレージ内のすべてのデバイスファイルを暗号化し、デバイス上のすべての連絡先情報を削除することもできます。

このマルウェアは、Android用のAdobe Flash Playerアプリに偽装してデバイスに侵入します。「一般的に、消費者は、さまざまなアプリストア内外で見つかるすべてのいわゆる『Flash Player（アップデート）アプリ』がマルウェアであることを認識しておく必要があります」とThreatFabricはBleeping Computerに伝えました。

「多くのウェブサイトは、訪問者にFlashのサポートを要求し続けています（これはAndroidでは何年も利用できませんでした）ので、Androidユーザーはそのウェブサイトを利用できるアプリを探そうとします」と広報担当者は付け加えました。「最終的には、彼らはただマルウェアをインストールすることになります。」

さらに説明すると、研究者たちは「新しい技術が考案され、現在使用されています。これはAndroidのPACKAGE_USAGE_STATS権限（一般にUsage Access権限と呼ばれる）を悪用します。MysteryBotのコードは、いわゆるPACKAGE_USAGE_STATS技術と統合されています。このAndroid権限を悪用するには、被害者が使用のための権限を提供する必要があるため、MysteryBotは人気のAccessibilityServiceを利用し、トロイの木馬が被害者の同意なしに必要な権限を有効にし、悪用できるようにします。」

MysteryBotマルウェアの主な目的は、バンキングアプリをターゲットにすることですが、マルウェアはそれ以上のことができます。MysteryBotは、被害者の知識や同意なしに合法的な偽装の下でモバイルバンキング活動を実行できるため、金融機関が悪意のある活動を特定するのが難しくなります。

現在、MysteryBotは流通していませんが、LokiBotは以前、SMSスパム（スミッシング）やAndroidアプリへのリンクを含むメール（フィッシング）を通じて広まっていましたとThreatFabricはBleeping Computerに伝えました。

ユーザーには、デバイスを安全に保つために、Google PlayストアからのみAndroidアプリをインストールし、他のソースからはインストールしないことが推奨されています。また、Playストアからダウンロードしていることを確認することも重要です。

「Google Playストアにはまだ多くのドロッパーが存在しているようで、効率的な配布手段のようです」とThreatFabricは述べました。「しかし、ほとんどのAndroidバンキングトロイの木馬は、スミッシング/フィッシングおよびサイドローディングを介して配布されているようです。」

出典: Bleeping Computer