マルウェア作者の創作力は、とどまるところを知りません。マイニング機能が追加されたランサムウェアもあれば、お金を脅し取るバンキング型トロイの木馬(英語記事)もあります。「Faketoken」という名前はあまり怖そうに見えないかもしれませんが、Androidを狙ったこのバンキング型トロイの木馬は深刻な脅威です。
Faketoken:SMS泥棒から本格的なバンキング型マルウェアへ
バンキング型トロイの木馬Faketokenは、かなりの長期間にわたり出回っています。さかのぼること2014年には、最も広く出回ったモバイルの脅威の1つとして、当社のトップ20リストに登場しました(英語記事)。このマルウェアは当時、デスクトップ向けのバンキング型トロイの木馬と連動していました。このデスクトップ向けのマルウェアがアカウントをハッキングして現金を引き出すと、Faketokenがワンタイムパスワードの書かれたSMSを傍受して、取引を確認していたのです。
Faketokenは、2016年までには本格的なモバイルバンキング型トロイの木馬となり、直接現金を窃取するようになりました(英語記事)。他のアプリの画面の上に偽のウィンドウを重ねることで、いかにもそのアプリの画面であるかのように見せかけ、ログインIDやパスワード、銀行の口座情報を入力させていました。また、感染したデバイスの画面をブロックしてファイルを暗号化するランサムウェアとしても効果を上げていました。
2017年までには、オンラインバンキングアプリ、Google Payなどの電子ウォレット、タクシー配車サービスアプリ、罰金支払いアプリなどさまざまなアプリを偽装し、銀行口座関連のデータを窃取するようになりました。
Faketokenの予想外な展開
先日、当社のボットネット活動モニタリングシステム(Botnet Attack Tracking)は、Faketokenに感染した約5,000台のスマートフォンが攻撃的なテキストメッセージを送信し始めたことを検知しました。これはいささか奇妙に映ります。
SMS送信機能は、事実上モバイルマルウェアの標準装備となっており、こうしたマルウェアの多くはSMSで送られるダウンロードリンクを通じて拡散します。一方でバンキング型トロイの木馬は、SMSで送信される確認コードを傍受するために、SMS送信に既定で使われるアプリに指定するように要求する場合がよくあります。しかし、バンキング型のマルウェアがメッセージ一斉送信ツールに変貌するというのは、これまで目にしたことがありません。
外国へのSMS —支払いは、あなた持ち
FaketokenによるSMS送信にかかる費用は、感染したデバイスの持ち主に請求されます。SMS送信の前に、Faketokenはデバイスの持ち主の銀行口座に十分な預金があるかどうか確認します。口座に預金があった場合、Faketokenはカード情報を使ってモバイル口座にチャージしてから、SMSの送信を始めます。
Faketokenに感染したスマートフォンの多くは、外国の電話番号宛にSMSを送信していたために、このトロイの木馬によるSMS送信はスマートフォン利用者にとってかなりの経済的負担となりました。
Faketokenから身を守るには
Faketokenによるこの攻撃が一度限りの作戦なのか、何らかの流行の兆しなのか、現時点でははっきりしません。被害に遭うのを避けるには、以下の点に注意することをお勧めします。
- アプリをインストールする場合は、必ず公式のストア(Google Play)からインストールしましょう。また、公式ストア以外からのアプリのダウンロードを無効化するように、スマートフォンの設定を変更してください。
- 安全だという確信が持てないのであれば、SMSに記載されているリンクはクリックしないようにしましょう。これは、知り合いから届いた場合も同様です。たとえば、普段はSNSに写真を投稿したりメッセンジャーアプリから写真を送ってきたりする友達が、SMSでリンクを送ってきたら、怪しいと思いましょう。
- 信頼できるセキュリティ製品をインストールしましょう。カスペルスキー インターネットセキュリティ for Androidは、Faketokenをはじめとする多数のマルウェアを検知してブロックします。