サイバー犯罪者は、電子銀行詐欺用に設計された高度な Android トロイの木馬アプリを使用して Facebook ユーザーをターゲットにし始めており、おそらくソーシャル ネットワークの 2 要素認証保護を回避しようとしているものと思われます。
ウイルス対策ベンダーESETのセキュリティ研究者は、感染したシステムからブラウザでFacebookページを開くと、不正なJavaScriptコードを挿入する「Qadars」と呼ばれるコンピュータバンキング型トロイの木馬の新たな亜種を特定しました。挿入されたコードは、SMS経由で携帯電話に送信される認証コードを盗むAndroidマルウェアのダウンロードとインストールをユーザーに指示するメッセージを生成します。
これらのブラウザ内攻撃はウェブインジェクトとして知られており、ユーザーからログイン認証情報やその他の機密の金融情報を収集することを目的として、オンラインバンキングの Web サイトに不正な Web フォームを表示するためにコンピュータトロイの木馬によって長年使用されてきました。
ウェブインジェクトは、金融機関が義務付けるセキュリティアプリを装い、ユーザーに悪意のあるアプリをモバイル端末にダウンロード・インストールするよう指示するメッセージを表示するためにもよく使用されます。実際には、これらの不正なモバイルアプリは、銀行からSMSで送信されるモバイル取引承認番号(mTAN)やその他のワンタイムパスワードを盗むように設計されています。
2月に、EMCのセキュリティ部門であるRSAのセキュリティ研究者は、iBankingと呼ばれる高度なAndroidトロイの木馬のソースコードが地下フォーラムで公開されたと報告し、この展開により、より多くのサイバー犯罪者がこのモバイルの脅威を今後の活動に取り入れることができるようになると警告した。
iBanking は、Android スマートフォンにインストールされると、着信および発信のテキスト メッセージをキャプチャしたり、通話を事前に定義された電話番号に転送したり、デバイスのマイクを使用して周囲の環境から音声をキャプチャしたり、通話履歴ログや電話帳を盗んだりすることができます。
ESETの研究者による新しいレポートによると、コンピュータトロイの木馬「Qadars」の作成者はiBankingをすぐに採用したが、オンラインバンキングのユーザーではなくFacebookのアカウントをターゲットにしているようだ。
「バンキング型トロイの木馬Win32/Qadarsの監視を通じて、我々は全く新しいタイプのウェブインジェクトを目撃した。これはFacebookのウェブページに挿入されることを意図したJavaScriptを使用し、ユーザーにAndroidアプリをインストールさせようとするものだ」とESETのマルウェア研究者、ジャン=イアン・ブータン氏は水曜日のブログ投稿で述べた。
感染したらどうなるか
ユーザーが Qadars に感染したコンピューターから Facebook にログインすると、「ユーザーの個人情報への不正アクセスの試みが増加しているため、また破損したページ データの拡散を防ぐために、Facebook 管理者は新たな追加の安全保護システムを導入しました」という不正なメッセージが表示されます。
この保護システムと称されるものは、通常のパスワードの代わりに使用できる固有の認証コードを生成するモバイルアプリケーションとして提供されています。このアプリケーションを入手するには、ユーザーは携帯電話のOSと電話番号を入力する必要があります。すると、ダウンロードリンクと対応するQRコードが記載されたページに誘導されます。
Androidデバイス所有者に提供されているアプリケーションは、iBankingトロイの木馬アプリのバージョンであり、ワンタイムパスワードを生成するFacebookアプリケーションを装うように改変されています。インストール時に、ユーザーはAndroidの設定で不明なソースから入手したアプリのインストールを許可するよう指示され、アプリにデバイス管理者権限を付与するよう求められます。
「iBankingがユーザーのモバイルにインストールされる方法はごく一般的だが、Facebookユーザーを狙ってアカウント詐欺を行うようなモバイルアプリケーションは初めてだ」とブーティン氏は述べた。
攻撃者はiBankingを利用して、Facebookの正規の2段階認証システムからSMSで送信されるセキュリティコードを盗んでいる可能性があります。Facebookのこの保護機能を利用する人が増えているため、従来の認証情報窃盗攻撃によるアカウント侵害が困難になっている可能性があると、Boutin氏は述べています。
しかし、攻撃者が Facebook でウェブインジェクトを使用することを選択した理由は、ユーザーが定期的にどの銀行サイトにアクセスするかを気にすることなく、多くのユーザーにマルウェアを配布できる効率的な方法だからである可能性もあります。
「Facebookのような主流のウェブサービスもモバイルマルウェアの標的となっている今、他の種類のマルウェアがウェブインジェクトを使い始めるかどうかは興味深いところです」とブーティン氏は述べた。「時が経てば分かるでしょうが、モバイルマルウェアのコモディティ化とそれに伴うコードソースの漏洩を考えると、これは十分にあり得ることです。」
