新しいAndroidバンキング認証情報を盗むRATがGoogleサービスフレームワークに偽装

Androidマルウェアは徐々にPCマルウェアに取って代わりつつあります。セキュリティ企業FireEyeは、「Googleサービスフレームワーク」に偽装し、Androidユーザーのバンキング認証情報を盗む新しいAndroidマルウェアを特定しました。このRAT（リモートアクセスツール）マルウェアのユニークな点は、Googleサービスフレームワークを使用して、Androidスマートフォンやタブレットで実行されているアンチウイルスアプリを実際に停止させることです。

FireEyeは、このHijackRATバンキング認証情報盗難ツールの発見は、今後開発者からのAndroidに特化したバンキング脅威の兆候かもしれないと述べています。FireEyeはブログ投稿で次のように述べました。

「過去には、プライバシー漏洩、バンキング認証情報の盗難、またはリモートアクセスを個別に実行するAndroidマルウェアを見てきましたが、このサンプルはそれらのすべての活動を1つのアプリに統合することでAndroidマルウェアを新たなレベルに引き上げています。さらに、ハッカーは銀行ハイジャックを実行するためのフレームワークを設計しており、この目標に向けて積極的に開発を進めていることがわかりました。フレームワークが完成すれば、近い将来、銀行ハイジャックマルウェアのバッチが出現する可能性があると疑っています。現在、攻撃者によって認識されている韓国の銀行は8つですが、ハッカーはわずか30分の作業で新しい銀行に迅速に拡大することができます。」

FireEyeは、このマルウェアを8つの韓国の銀行アプリでテストし、マルウェアがデバイスにインストールされると、コマンドおよび制御サーバーが既存の銀行アプリを置き換えるコマンドを送信することを発見しました。Androidバンキングアプリは、Google Playで入手可能なアンチウイルスアプリ「com.ahnlab.v3mobileplus」のインストールを必要とします。FireEyeは、HijackRaTがインストール後にアンチウイルスアプリケーションを停止させ、その後バンキングアプリを置き換えたことに気付きました。この動作により、RATはインストール後にAVアプリや、使用しているバンキングアプリが本物であるという印象を持つAndroidユーザーからの検出を回避できます。

• このRATの作業方法を説明するブログは次のように述べています。

「この新しいRAT（リモートアクセスツール）マルウェアのパッケージ名は「com.ll」で、デフォルトのAndroidアイコンを持つ「Googleサービスフレームワーク」として表示されます。Androidユーザーは、設定でその管理権限を無効にしない限り、アプリを削除することはできません。これまでのところ、このサンプルのVirus Totalスコアは54のAVベンダーのうち5つの陽性検出のみです。このような新しいマルウェアは、ハッカーが使用するCNCサーバーが非常に迅速に変化するため、迅速に公開されます。」

マルウェアの動作はFireEyeブログで詳細に分析されていますが、ここではその動作を簡潔に説明しようとしています。マルウェアペイロードを含むアプリがインストールされると、Googleサービスアイコンがホーム画面に表示されます。Androidユーザーがそのアイコンをクリックすると、他のAndroidアプリと同様に管理権限を要求する新しい画面がポップアップします。ユーザーが権限を受け入れてマルウェアに付与すると、アンインストールオプションが無効になり、「GS」という新しいサービスが開始されます。しかし、これはマルウェアのカモフラージュに過ぎません。ユーザーがGSアイコンをクリックすると、デバイスは「アプリがインストールされていません」というメッセージを表示し、ホーム画面から自らを削除します。これでHijackRATが作動し、ユーザーがオンラインであれば、数分以内にアプリは香港にあるコマンドおよび制御サーバーに接続し、そこからタスクリストを受け取ります。FireEyeはそのIPアドレスを香港に追跡しましたが、マルウェアの著者/所有者を特定していませんが、マルウェアのユーザーインターフェースに基づいて、両方のマルウェアはおそらく韓国人によって作成され、現在は韓国のユーザーのみをターゲットにしていると考えています。

「それがハッカーのIPなのか、RATによって制御されている被害者のIPなのかはわかりませんが、URLはデバイスIDとCNCサーバーによって生成されたUUIDにちなんで名付けられています。」

実行する必要があるタスクは、コマンドおよび制御サーバーから「update」という名前のアプリと銀行名の略称をダウンロードし、同時に元のバンキングアプリをアンインストールすることです。「update」というコマンドがリモートアクセスツールから送信されると、同様のアプリ「update.apk」がコマンドおよび制御サーバーからダウンロードされ、Androidデバイスにインストールされます。マルウェアはまた、Androidデバイスの所有者のすべてのユーザー詳細をC＆Cサーバーに送信します。これらの詳細には、電話番号、デバイスID、MACアドレス、およびスマートフォンやタブレットに保存されている連絡先リストが含まれます。

• 「このアプリの動作の独特な性質、個人情報の複数のレベルを引き出し、バンキングアプリを偽装する能力を考えると、より強力なモバイルバンキング脅威が迫っている可能性があります。」

バンキング認証情報を盗むマルウェアの増加は驚くべきことではありませんが、マルウェアがC＆Cサーバーに接続するためにペイロードを実行する際の独創性と洗練度のレベルは、Google、セキュリティアナリスト、Androidコミュニティにとって懸念材料です。