ウイルス対策ベンダーのカスペルスキー研究所の研究者らは、銀行が顧客にSMS(ショートメッセージサービス)経由で送信するモバイル取引認証番号(mTAN)を盗むように設計された複数の悪質なAndroidアプリをGoogle Playで発見した。
カスペルスキーの上級マルウェアアナリスト、デニス・マスレニコフ氏は金曜日のブログ投稿で、これらのアプリは、複数のロシアの銀行の顧客を狙うバンキングマルウェア「Carberp」の亜種を使用する犯罪集団によって作成されたと述べた。
多くの銀行は、サイバー犯罪者が不正アクセスしたオンラインバンキング口座から送金するのを防ぐためのセキュリティメカニズムとして、mTANを使用しています。オンラインバンキング口座から取引が開始されると、銀行は口座名義人の電話番号にSMSでmTANと呼ばれる固有のコードを送信します。口座名義人は、取引を承認するために、このコードをオンラインバンキングのウェブサイトに入力する必要があります。
サイバー犯罪者は、この種の防御策を突破するために、標的の銀行に関連付けられた番号から受信したSMSメッセージを自動的に隠し、密かにサーバーにアップロードする悪質なモバイルアプリを作成しました。被害者は、感染したコンピューターから銀行のウェブサイトにアクセスした際に表示される偽のメッセージに誘導され、これらのアプリをスマートフォンにダウンロード・インストールさせられます。
SMS窃取アプリは、これまでもバンキング型トロイの木馬プログラム「Zeus」や「SpyEye」と併用されており、「Zeus-in-the-Mobile(ZitMo)」および「SpyEye-in-the-Mobile(SpitMo)」コンポーネントとして知られています。しかし、Carberpマルウェア専用に設計された不正なモバイルコンポーネントが発見されたのは今回が初めてだとマスレニコフ氏は述べています。
Zeus や SpyEye とは異なり、Carberp トロイの木馬プログラムは主に、ロシアやウクライナ、ベラルーシ、カザフスタンなどのロシア語圏の国のオンライン バンキングの顧客をターゲットにするために使用されます。
他のギャングに乗っ取られたトロイの木馬
ウイルス対策ベンダーESETの7月のレポートによると、ロシア当局はCarberpの3大作戦の背後にいる人物を逮捕した。しかし、このマルウェアは他の犯罪組織によって引き続き利用されており、バージョンや機能に応じて5,000ドルから40,000ドルの価格で闇市場で売買されている。
「Carberpグループによるモバイル向け悪意あるコンポーネントを確認したのは今回が初めてです」と、ウイルス対策ベンダーESETのシニアマルウェア研究者、アレクサンドル・マトロソフ氏は金曜日にメールで述べた。「モバイル向けコンポーネントを使用しているのはCarberpグループ1社のみですが、現時点では詳細をお伝えできません。」
マスレニコフ氏によると、Google Playで発見された新しいCarberp-in-the-Mobile(CitMo)アプリは、ロシアの二大銀行であるズベルバンクとアルファバンク、そしてロシアで最も人気のあるオンラインソーシャルネットワーキングサービスであるVKontakteのモバイルアプリを装っていた。カスペルスキーは水曜日にGoogleに連絡し、木曜日までにすべてのCitMoの亜種が市場から削除されたという。
しかし、そもそもサイバー犯罪者がこれらのアプリを Google Play にアップロードできたという事実は、今年初めに Google が発表した Bouncer マルウェア対策スキャナーなど、アプリ市場のマルウェア対策防御の有効性に疑問を投げかけます。
「マルウェアが定期的に出現し続けているため、Google Playの防御を回避するのはそれほど難しくないようだ」とマスレニコフ氏は電子メールで述べた。
ウイルス対策ベンダー Bitdefender の上級電子脅威アナリスト Bogdan Botezatu 氏は、ZitMo、SpitMo、CitMo のコンポーネントは一部の正規アプリケーションと機能的に類似しているため、Google の Bouncer では検出が難しい可能性があると考えています。
「このトロイの木馬のモバイル版は、受信したSMSを乗っ取り、その内容を別の受信者に転送するだけです。この動作は、SMS管理アプリや、盗難・紛失時にユーザーがSMS経由でデバイスを遠隔操作できるアプリケーションなど、正規のアプリケーションにも見られます」と彼はメールで述べています。「SMSの傍受機能は、フォーラムでサンプルコードと共に十分に文書化されています。悪意のあるアプリケーションと正規のアプリケーションの両方で同じサンプルコードが使用されている場合、検出とブロックはさらに困難になります。」
ボテザトゥ氏は、Google Playを利用してSMS窃取アプリを配布できることは、サイバー犯罪者にとって有利に働くと指摘する。まず、一部のユーザーデバイスはGoogle Playから入手したアプリのみをインストールするように設定されている。また、ユーザーは一般的にGoogle Play経由でダウンロードしたアプリに対して疑念を抱きにくく、権限設定にもあまり注意を払わない。なぜなら、アプリの説明文に書かれている通りのアプリだと期待しているからだ、とボテザトゥ氏は指摘する。
