トロイの木馬「Asacub」:強大な脅威へと進化

2016年2月17日

Kaspersky Labは、バンキング型トロイの木馬「Asacub」のAndroidユーザーに対する攻撃が、1月に入って活発化していることを発見しました。当社のエキスパートがその進化の過程を追跡しています(英語記事)。

asacub-trojan-featured

バンキング型トロイの木馬は、モバイルデバイスにインストールされるマルウェアの一種で、一定の手法を使ってデバイス利用者のクレジットカードから金銭を盗みます。Asacubの最新バージョンでは、偽の画面からクレジットカードの認証情報を送信するように仕向けるという、フィッシング詐欺の動きを見せます。言うまでもなく、このデータが正規の銀行に送られることはありません。

リサーチャーは当初、このバンキング型トロイの木馬の標的はロシアとウクライナだけとみていました。偽の画面がロシアとウクライナの銀行のログイン画面にそっくりだったからです。ところが、さらに調査を続けると、米国のユーザーを狙った新たなバージョンが見つかりました。その画面には、米国の大手銀行のロゴが堂々と掲げられていました。クレジットカード情報の抜き取りに使われた手段は偽のログイン画面だけなので、Asacubの開発者は特定の銀行だけを標的にしていると見られます。

bank_screen-3

当初、Asacubは極めて単純なマルウェアでしたが、現在は単なるフィッシング詐欺をはるかに超える存在になっています。進化し始めた頃は、マルウェアの一番下の階層にいたというのに…

2015年6月、このマルウェアファミリーの1つ、「Trojan-Banker.AndroidOS.Asacub」がカスペルスキー製品で検知されました。これが、後に何度も繰り返されるAsacub攻撃の第1波でした。当時のAsacubは典型的なフィッシングのプログラムであり、C&Cサーバーからリモートで管理されていました。

Asacubの初期バージョンは、デバイスにインストールされた後、アプリ一覧、ブラウザー履歴、連絡先リストなどの情報を遠く離れたC&Cサーバーに送っていました。また、特定の電話番号にSMSメッセージを送信したり、必要に応じて画面をオフにしたりすることもできましたが、それ以上の機能はありませんでした。

7月に発見された新しいバージョンのAsacubは、はるかに進化したツールセットを搭載していました。既存の機能に加え、C&C通信サイクルの管理、メールの傍受や削除、リモートサーバーへのSMS履歴のアップロードなどの機能も備わっていました。

それだけでなく、電話をミュートにする、画面がオフになっている時でもCPUをアクティブな状態に保持する、などが可能でした。さらに重要なことに、犯罪者に対してコンソールへのアクセスを提供していました。これは昔からあるバックドア機能ですが、モバイルバンキングを狙ったトロイの木馬ではめったに使われません。その後、バージョンを重ねるにつれて、Asacubはただのフィッシングプログラムをはるかに超える存在になっていきました。

そうこうしているうちに、Asacubは現在の形になりました。昨年9月のことです。前述の機能に加え、フィッシング画面を使って特定のモバイルバンキングアプリでクレジットカード情報を盗み始めました。さらに、標的の電話を特定の電話番号に転送する、USSDリクエストを送る、不正なURLからファイルをダウンロードして実行する、などのワザも身につけました。

つい最近まで、Asacubは目立たないように活動していました。Kaspersky Labのリサーチャーは、このマルウェアの活動を何回か確認していましたが、クリスマス前後に実行された作戦を発見するまで、Asacubを使った大規模な攻撃を見たことはありませんでした。Asacubを発見したエキスパートの1人、ロマン・ウヌチェク(Roman Unuchek)は次のように述べています。

「このマルウェアは、最近まで当社のレーダーには引っかかりませんでしたが、クリスマス休暇中にAsacubが活発に配信されるようになり、2016年に入ってとうとう、悪名高いモバイルの脅威の1つになりました」

screen-graph-asacub-expansion-ja

実際、Asacubは2016年の第1週目に6,500件以上検知され、その週で最も活動的だったバンキング型トロイの木馬となりました。現在までに、37,000件を上回る感染の試みが確認されています。

このトロイの木馬の機能一覧にざっと目を通しただけでも、髪が真っ白になってしまうかもしれません。Asacubに感染したAndroidデバイスは、好き勝手に操られてしまいます。データ(SMSメッセージや銀行の認証情報など)の窃取、電話の転送、写真の撮影、おそらく、ランサムウェアなどの他のマルウェアのインストールまで。

Asacubはオールインワンのハッカー向けツールであり、フィッシング、マルウェアの配信、脅迫などにも使用される可能性があります。現時点で、犯罪者は手元のツールセットをテストしているだけのように見えますが、大規模な作戦を匂わせる根拠がいくつかあります。

この脅威から身を守るための唯一有効な方法、それは堅牢なアンチウイルス製品です。カスペルスキー インターネット セキュリティ for Androidは、Asacubの既存バージョンをすべて検知し、ブロックします。有料版であればすぐに威力を発揮します。体験版を使用している場合は、必ず定期的に手動スキャンを実行して、感染しないようにしてください。