新しいAndroidマルウェアEventBotは銀行のパスワードや2段階認証のコードも盗む

セキュリティの研究者は、新たに発見されたAndroidのマルウェアに警鐘を鳴らしている。銀行アプリや暗号通貨のウォレットを標的としたものだ。

画像クレジット:David Paul Morris/Bloomberg/Getty Images

セキュリティ会社Cyber​​easonの研究者が最近発見し、EventBotと名付けたマルウェアは、Adobe FlashやMicrosoft Word for Androidといった、正規のAndroidアプリになりすましている。Androidに組み込まれているアクセシビリティ機能を悪用して、OSの深い部分にアクセスする。

無防備なユーザーや、被害者のデバイスにアクセスできる悪意を持った人間によってインストールされると、EventBotに感染した偽のアプリは、PayPal、Coinbase、CapitalOne、HSBCなど、200種以上のバンキング、および暗号通貨アプリのパスワードを密かに抽出する。さらに、テキストメッセージで送られる2段階認証のコードを傍受する。

被害者のパスワードと2段階認証のコードを手に入れたハッカーは、銀行口座、アプリ、ウォレットに侵入し、被害者の資産を盗むことができる。

「Eventbotを生み出した開発者は、このコードの開発に多くの時間とリソースを費やしてきました。その洗練度と能力には、非常に高いものがあります」と、Cyber​​easonの脅威研究の責任者、アッサフ・ダーン(Assaf Dahan)氏はTechCrunchに語った。

このマルウェアは、すべてのタップとキーのプッシュを密かに記録し、インストールされている他のアプリからの通知を読み取ることもできる。それによってハッカーは、被害者のデバイスで何が起こっているのかを覗き見ることが可能となる。

やがてこのマルウェアは、バンキングおよび暗号通貨アプリのパスワードを吸い出して、ハッカーのサーバーに送信する。

研究者は、EventBotは現在も開発が進行中であると言う。3月に発見されてから数週間にわたり、数日ごとに繰り返し更新され、悪意を持った新機能が追加されていることが確認されている。ある時点で、マルウェアの作者は、サーバーとの通信に使用する暗号化スキームを改善し、ユーザーのデバイスロックコードを取得可能な新機能を組み込んだ。さらに、このマルウェア自身が、支払い機能やシステム設定のように、被害者のデバイスの中でより高い権限を持つことも可能にしたと考えられる。

誰が開発に携わっているのかについては、まだ研究者も困惑するばかりだが、研究の結果は、このマルウェアがまったく新規なものであることを示している。

「これまでのところ、他のマルウェアからコードをコピー&ペーストしたり、再利用したような明確な証拠は確認されていません。ゼロから作られたようです」と、ダーン氏は述べている。

Androidにとって、マルウェアは珍しいものではなく、増加傾向にある。ハッカーや、マルウェアの運営者は、ますますモバイルユーザーをターゲットにしている。そうしたデバイスのオーナーの多くが、銀行アプリ、ソーシャルメディア、その他の機密性の高いサービスを、デバイスに入れているからだ。Googleも近年は、アプリストアに掲示するアプリをあらかじめ検査し、サードパーティ製のアプリを予防的にブロックすることでマルウェアを削減し、Androidのセキュリティを向上させてきた。しかし、必ずしも良い結果だけを招いているとは言えない。それでも多くの悪意のあるアプリが、Googleの検査をすり抜けているからだ。

Cyber​​easonによると、現時点では、Androidのアプリストア上ではEventBotは検出されておらず、大々的に利用されているような状態ではないという。被害は、今のところ潜在的なものに限られている状態だ。

とはいえ研究者は、ユーザーは、サードパーティのサイトやストアなどにある信頼できないアプリの利用を避けるべきだとしている。そうしたサイトの多くは、マルウェアの検査をしていないからだ。

関連記事:アドウェア感染した多数のAndroidアプリが数百万回ダウンロードされる

原文へ

(翻訳:Fumihiko Shibata)

他のハッカーとその侵入先を狙いツールにトロイの木馬を忍ばせるハッカー

最近発見されたマルウェアは、ハッカーが別のハッカーを攻撃するのに使われ、ターゲットがよく使っているハッキングツールに感染して、それらを改造しているらしい。

CybereasonのAmit Serper(アミット・サーパー)氏の発見によると、ここ数年におよぶマルウェアの攻撃において、犯人は既存のハッキングツールを乗っ取り、強力なリモートアクセス用トロイの木馬を注入しているという。それらのツールを開くと、ハッカーはターゲットとコンピューターのどこにでも自由にアクセスできるようになる。被害に遭うハッキングツールの一部は、データベースからデータを抜き取ってクラックしたり、プロダクトキー生成ツールで、試用段階のソフトウェアのフルバージョンをアンロックしたりする。

サーパー氏によると、犯人たちはマルウェアで改造したツールをハッキングのフォーラムにポストし、他のハッカーを釣ろうとしているという。

しかしサーパー氏がTechCrunchに語ったところによると、それはハッカーが他のハッカーをターゲットするという単純な話ではない。彼らが明らかに犯意を抱いて改造したツールは、ハッカーのシステムにだけバックドアを開いているのではなく、そのハッカーがすでに侵入したすべてのシステムにも侵入している。

「ハッカーが、あなたやあなたの会社をターゲットにしてこれらのトロイの木馬使っているのであれば、そのハッカーをハックしているハッカーがあなたの資産にも今後アクセスできることを意味している」とサーパー氏はいう。

それには、レッドチームへの参加を狙っている悪意あるセキュリティ研究者も含まれる。

サーパー氏の所見では、これら未知の犯人たちは、ハッキングツールに強力なトロイの木馬であるnjRatを注入して改造する。すると、ターゲットのデスクトップやファイル、パスワード、ウェブカメラ、マイクロフォンにまでアクセスできるようになる。そのトロイの木馬は少なくとも2013年までさかのぼることができ、当時は中東のターゲットに対して頻繁に用いられた。njRatはフィッシングを行うメールで拡散することが多く、フラッシュドライブに感染する。しかし最近では、ハッカーたちはマルウェアを休眠サイトや安全でないサイトに潜ませて、発見を逃れようとしている。2017年にはハッカーたちが同様の作戦を使って、いわゆるイスラム国のプロパガンダ部隊のためにウェブサイトでマルウェアをホストしていた。

サーパー氏は、同じウェブサイトハッキングテクニックを使って最近もnjRatをホストしていることを発見している。

彼の発見によると、犯人たちがそうやって乗っ取ったウェブサイトはいくつかあり、いずれもオーナーにはばれていない。そこでは何百ものnjRatマルウェアのサンプルがホストされ、犯人たちが使っているインフラがそのマルウェアをコマンドしコントロールしている。サーパー氏によると、ハッキングツールへのnjRatトロイの木馬の注入は毎日のように起こっており、自動化されていると思われる。つまりこの犯行は、ほとんど人間が介入せずに行われているようだ。

なぜこんなことが行われているのかという理由や、背後の人物や組織についてはわかっていない。

関連記事: Hackers are stealing years of call records from hacked cell networks…ハッカーたちが数年分の通話記録を盗んでセルネットワークをハック(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa