バンキング型トロイの木馬:モバイルを狙う最大のサイバー脅威

2015年10月5日
脅威

※(編集者注)国によってモバイルバンキングサービスの仕組みはさまざまで、日本で実施されているサービスと必ずしも一致しない項目もありますが、モバイルデバイスを狙う脅威としては共通の部分が多々あります。参考としていただければ幸いです。

スマートフォンのブームは相変わらず衰える気配を見せません。ここ数年、消費者が使用するモバイルデバイスの半分以上はスマートフォンです。この傾向が、モバイル上でのサイバー脅威という大きな問題の引き金となっています。PCユーザーは基本的な「ウイルス予防策」くらいは講じていますが、いまだにスマートフォンユーザーの大半は、「単なる電話」になんでわざわざそんなことを?…アイロンや洗濯機の仲間なのに、と思っているかのようです。

android-banking-trojans-featured

今どきのスマートフォンは一人前のコンピューターであり、10年前のPCよりもはるかに強力です。その上、危険なコンピューターでもあります。PCのハードディスクには大したものは入っておらず、せいぜい学生時代の研究論文や先日の休暇で撮った写真くらいかもしれませんが、スマートフォンには持ち主とサイバー犯罪者の双方にとって価値のあるデータが入っていることでしょう。

スマートフォンを持っているなら、おそらく銀行カードも持っているはず。携帯電話の番号を認証に使う銀行もあります。なので、サイバー犯罪者にしてみれば、この通信チャネルに侵入し、他人の銀行口座から支払いや送金を行うのは至極もっともなことなのです。

というわけで、モバイル脅威の中でバンキング型トロイの木馬が特に目立っているのも不思議ではありません。モバイルマルウェアのうち95%以上が、バンキング型トロイの木馬です。モバイルバンキングに対する攻撃の98%以上がAndroidデバイスを狙っていることも、驚くには値しません。Androidは世界で最も普及しているモバイルプラットフォームであり、世界のスマートフォン市場の80%以上を占めています。また、数々の有名モバイルプラットフォームの中でソフトウェアのサイドロードを認めているのもAndroidだけです。

トロイの木馬の場合、システムに侵入するには利用者側での操作が必要なため、ウイルスより危険度は低いといえるかもしれません。しかし、インストールを許可させるために、さまざまなソーシャルエンジニアリングの手法を駆使してきます。たとえば、重要なアップデートや、お気に入りのモバイルゲームのボーナスレベルであるかのように装って、インストールしてもらおうとしてきます。また、利用者が誤って悪意あるファイルを実行してしまったとき、すかさず自動的にマルウェアを実行するエクスプロイトも多数あります。

バンキング型トロイの木馬が使う手口は主に次の3つです。

  • テキストメッセージを隠す:銀行から送られてくるSMSメッセージをスマートフォンに表示せず、犯罪者に転送。犯罪者はその情報を使って金銭を自分たちの口座に送金する。
  • 少額を移動する:感染した人の口座から不正な口座へ、比較的少額を送金。送金の頻度は少なめにする。
  • アプリのふりをする:銀行のモバイルアプリのふりをする。本物のアプリへのログインに必要な認証情報を入手してから、前述の2つの操作を実行する。

バンキング型トロイの木馬の主な標的はロシア、CIS諸国、インド、ベトナムで、全体の50%以上を占めています。最近は地域を限定しない、新世代のモバイルマルウェアが増加してきました。このようなマルウェアは米国、ドイツ、英国から外国銀行の最新プロファイルをダウンロードする能力があります。

モバイルバンキング型トロイの木馬は、どれもZeusから派生しています。Zeusは別名Zitmo(Zeus-in-the-mobile)とも呼ばれ、2010年に登場しました(PCを標的とするトロイの木馬の祖先もZeusという名前で、2006年に作成されました)。この種のマルウェアは米国だけで350万台ものデバイスを感染させ、史上最大のボットネットを作り上げました。

乗っ取りの手口は昔ながらのもので、モバイルバンキングのインターフェイスに入力された認証情報を保存し、犯罪者に送信します。すると、犯罪者は横取りした認証情報を使ってシステムにログインし、不正な取引を実行できるようになります(Zitmoは2段階認証を迂回することもできます)。

それだけではありません。詐欺師たちはZeusを利用し、さまざまなWebサイト(Bank of Americaなど)から74,000個を超えるFTPパスワードを持ち逃げし、決済のたびにクレジットカードのデータを取り出せるようにコードを変更していました。Zeusは2013年の後半まで非常に活発に活動していましたが、その後、最新鋭のXtreme RATに追いやられ始めました。とはいえ、マルウェアエンジニアの間ではZeusのカーネルは今でも人気があります。

2011年にはSpyEyeが登場しました。これは史上最も成功したバンキング型トロイの木馬の1つです。作成者のアレキサンダー・パーニン(Alexander Panin)はこのコードを闇市場で1,000~8,500ドルで売っていました。SpyEye作成者の正体を暴いたFBIによると、このトロイの木馬を購入して修正し、さまざまな銀行から金銭を盗んだ犯罪者の数は150人に及びます。その中には、たった6か月間で320万ドル以上も荒稼ぎした詐欺師もいました。

2012年には亜種が発見されました。Carberpです。これはロシアの大手銀行、SberbankとAlfa BankのAndroidアプリを偽装したコンポーネントで、ロシア、ベラルーシ、カザフスタン、モルドバ、ウクライナのユーザーをターゲットにしていました。妙な話ですが、犯人たちはGoogle Playに偽アプリを公開できていました。

この集団は28人のサイバー犯罪者で構成されており、ロシアとウクライナの共同作戦によって逮捕されました。しかし、Carberpのソースコードが2013年に公開されたため、誰でもこのコードを使って独自のマルウェアを開発できるようになりました。オリジナルのCarberpは基本的に旧ソ連諸国向けに作られていましたが、そのクローンは米国やヨーロッパ、ラテンアメリカ諸国など、世界各地で確認されています。

2013年になると、Hesperbotの被害が出始めました。このマルウェアはトルコ生まれで、ポルトガルとチェコ共和国を経由して世界中に広がりました。このトロイの木馬はお決まりのトラブルを引き起こすほか、スマートフォンに隠しVNCサーバーを作成し、デバイスをリモートコントロールするアクセス権を攻撃者に付与します。

このトロイの木馬がいなくなった後もリモートアクセス権はそのままなので、攻撃者はデバイスを意のままに操り、メッセージを横取りできます。その結果、別のマルウェアをインストールするきっかけにもなります。さらに、Hesperbotはバンキング型トロイの木馬として悪さをするだけでなく、Bitcoinも盗みます。Hesperbotはメールサービスを装ったフィッシングで配布されます。

2014年、Android.iBankingのソースコードが公開されました。iBankingはSMSの乗っ取りとデバイスをリモートコントロールするエンドツーエンドキットで、最高5,000ドルの値段がつきました。このコードの公開をきっかけとして、感染が急速に拡大しました。

このキットには、正規のバンキングアプリを置き換える悪意あるコードが含まれています(元のアプリの機能はすべてそのままで、さらにさまざまな機能を取り込むように改竄)。また、使いやすいGUIを搭載したWindowsプログラムも含まれています。このGUIを使って、リストに載っている感染スマートフォンをコントロールします。このリストは標的が新たに増えるたびに自動更新されます。

面白いことに、このマルウェアプラットフォームには無料バージョンがあるにもかかわらず、プレミアムバージョンの方がはるかに人気を集めています。プレミアムユーザーは定期的な製品アップデートとカスタマーサポートを受けられます。2014年の年末までには、さらに2つのトロイの木馬がGoogle Playで発見されました。いずれもブラジルを狙ったもので、誰でも手に入れられるユニバーサルキットだけをベースにし、特別なプログラミングスキルを使わずに作成されていました。

銀行を狙った攻撃についていえば、ブラジルは特殊な地域です。Boletoモバイル決済システムが普及しているためですが、このシステムでは固有の決済IDが記載された仮想小切手を使ってユーザー間で送金できます。この小切手はディスプレイ上ではバーコードに変換され、これを受取人がカメラ付き携帯電話で読み取る仕組みです。

Boletoのユーザーを狙った特別なトロイの木馬(Infostealer.Boleteiroなど)は、生成された小切手がブラウザーに表示されると同時に乗っ取り、攻撃者に送信できるように「すぐさま」改竄します。

さらに、このトロイの木馬はWebサイトやバンキングアプリ上のBoletoシステムで(口座補充する際に)入力されるIDを監視し、正規のIDを不正IDにこっそり入れ替えます。

2015年6月、ロシアで新たなトロイの木馬が見つかりました。Android.Bankbot.65.Originはパッチ適用済みの正規のSberbank Onlineアプリを装い、「最新バージョン」をインストールすれば「さまざまな種類のモバイルバンキング機能」が使えるようになると勧めていました。

実際、このアプリはモバイルバンキングツールと同等の機能を備えているので、ユーザーはアプリが差し替えられたことに気づきませんでした。こうして、7月、10万人のSberbankユーザーが20億ルーブルを超える損失を訴えることに。全員、不正な「Sberbank Online」アプリを使っていたのです。

当然のことながら、バンキング型トロイの木馬は現在も新たな歴史が刻まれています。ますます多くの新アプリが作られていますし、攻撃者が標的を罠におびき寄せるための効果的なテクニックも日に日に増えています。つまり、あなたのスマートフォンを適切に保護するなら今なのです。