バンキング型トロイの木馬
最近は、マルウェアの進化にお決まりのシナリオがあるようです。まず、基本的な機能だけを備えたスケルトンがリリースされます。この類いのマルウェアはひそかにふるまい、悪意ある動きをほとんど見せません。通常は、リリースからほどなくして一部のアンチウイルス企業の目にとまりますが、悪意あるコードらしきものがまた見つかった、くらいにしか思われません。これと言って関心を引くような点がないからです。
それからしばらくして、このトロイの木馬(そう、大抵はトロイの木馬です)に別の機能が追加され、最初のバージョンよりもずっと大きな危害を加えることができるようになります。第3段階では、大規模な攻撃活動が始まります。膨大な数のデバイスが感染し、トロイの木馬が不正行為を働きます。被害の規模はトロイの木馬のタイプ次第です。ランサムウェアの場合は数百ドルほどの金額を要求するでしょうし、バンキング型トロイの木馬であれば、クレジットカードから盗めるものは何でも盗み出し、スパイ行為などを働くでしょう。このどちらかです。
たとえば、これはまさにAsacubが辿ったシナリオです。最初はかなり単純なフィッシングプログラムとして登場し、それから重武装のバンキング型トロイの木馬へと姿を変えていきました。そして今、Acecardが同じ道を辿っています。このマルウェアは、Asacubよりもさらに深刻な脅威に思えます。
金銭窃取を目的とするバンキング型トロイの木馬「Asacub」。次々と機能追加を繰り返して脅威の度合いを増す過程をKaspersky Labでは追跡してきました。 https://t.co/5uaIeP4KR5 pic.twitter.com/5UeXSWMSyx
— Kaspersky Labs Japan (@kaspersky_japan) February 17, 2016
Acecardは、Androidを狙うバンキング型トロイの木馬ファミリーであり、同じトロイの木馬の複数の亜種から構成されます。手口はほとんどのバンキング型トロイの木馬と同じで、モバイルバンキングアプリにフィッシングフォームを重ねて表示し、警戒心の薄いユーザーがクレジットカード情報を入力するよう仕向けます。ユーザーが「送信」ボタンを押す(または似たような操作を実行する)とデータが盗まれ、カードから偽の口座にお金が送られるか、データが第三者に売却されます。
Acecardが他のマルウェアよりひときわ目立つ理由は、2つあります。第1に、一般的なバンキング型トロイの木馬が重ねて表示できるモバイルバンキングアプリは、せいぜい2つか3つくらいですが、Acecardは約30種類の銀行システムや決済システムに通じています。また、指令サーバーからコマンドを受信し、どんなアプリにも偽ウィンドウを重ねて表示させることができます。そのため、攻撃されたアプリの数はもっと多いかもしれません。
第2に、Acecardの狙いはバンキングアプリだけにとどまりません。モバイル向けのSNSアプリ(Facebook、Twitter、Instagram)、メッセンジャー(WhatsApp、Viber、Skype)、さらに興味深いことにPayPalアプリやGmailクライアントで、フィッシングに使われることもあります。また、Google PlayやGoogle Play Musicにフィッシングウィンドウを重ねることも可能です。
Acecardには偽の「顔」がいくつもある
Acecardは、よくあるスパムメールを介して配信されるのではなく、役に立ちそうな何かに偽装して配信されます。たとえば、Adobe Flashに見せかけて拡散されることがあります。ちなみに、Android向けのFlashは2012年に開発終了となりました。なので、本物のFlash Player for Androidは、もう存在しません。とはいえ、拡散経路はこれだけではなく、Google PlayでAcecardをダウンロードするトロイの木馬が、当社のリサーチャーによって発見されています。
なかなか減らないオンライン詐欺。犯罪者からすると仕掛けるのが割合簡単な犯罪なのです。引っかからないための基本8ルールをチェックしましょう! https://t.co/4LHKikRGjs pic.twitter.com/JHznp2kWsv
— Kaspersky Labs Japan (@kaspersky_japan) December 30, 2015
Acecardが最初に検知されたのは2014年2月。先ほど述べたように、当時は悪意ある活動がまったく見られませんでした。サイバー犯罪者は1年半ほどかけてAcecardを真の脅威へと磨き上げ、バージョンを重ねるたびに新機能を追加していきました。Kaspersky Labのエキスパートはこのマルウェアのバージョンを10以上確認しており、ビルドが新しくなるごとに悪意ある機能が増えています。最新バージョンは非常に強力で、当社のシニアマルウェアアナリスト、ロマン・ウヌチェク(Roman Unuchek)をして「現在、ユーザーにとって最も危険な脅威の1つ」と言わしめるほどです(英語記事)。
そして2015年5月、攻撃が開始されました。2015年5月から9月までの期間に、6,000人以上のユーザーが攻撃を受けました。Acecardは、オーストラリアの銀行に対するサイバー攻撃が大幅に増加した唯一の原因と言えます。この他、主にロシア、ドイツ、オーストリア、フランスのユーザーがAcecardの標的になっています。なお、Acecardの背後にいるサイバー犯罪者は、ロシア語話者である可能性が非常に高いと思われます。
Acecardや同種のトロイの木馬から身を守るためには、以下の対策がお勧めです:
- インストールするアプリに注意しましょう。たとえば、Acecardの実行中はFlash Playerのロゴ以外、何も表示されません。このときこそAndroid Flash Playerがもう存在しないことを思い出す絶好のチャンスです。
- 非公式のストアからアプリをダウンロードしないでください。公式ストアを使っていても、信用できないアプリや、あまり必要でないアプリはダウンロードしないようにしましょう。ハッカーがGoogle Playのセキュリティをかいくぐることもあれば、新しい子猫の壁紙アプリが実は感染していた、ということもあり得ます。
- 優秀なセキュリティ製品を使いましょう。カスペルスキー インターネット セキュリティ for Androidは、Acecardの既知のバージョンをすべて検知します。Acecardや他のマルウェアファミリーに対する十分な防御策となるでしょう。
