タクシー配車アプリになりすますトロイの木馬

※（訳注）日本の場合、銀行ではSMSを使った2段階認証はほぼ行われていませんが、一部決済サービスでは使われています。

しまった！仕事（またはミーティング、もしくはデート）に間に合わない！慌てていつものタクシー配車アプリを立ち上げると、今回はなぜかクレジットカード番号の入力を求めるメッセージが現れました。あれ？今までは入力する必要なかったような？とりあえず急いでいるし、もう一度カード番号を入力すればいいだけだよな。

ところがしばらくして、銀行口座からお金が消えていくことに気づきます。これは一体？…どうやら、モバイル端末に感染するタイプのトロイの木馬にやられたようです。

先日、タクシー配車アプリのインターフェイスのふりをして銀行データを盗むマルウェアが発見されました（英語記事）。モバイルバンキング型トロイの木馬「Faketoken」の新たなバージョンです。

Faketokenはかなり前から存在するマルウェアで、長きにわたりアップグレードを繰り返しています。Kaspersky Labのエキスパートが「Faketoken.q」と名付けた最新バージョンに至っては、相当な数のトリックを身に着けています。

Faketokenは、（アイコンから判断すると、画像のダウンロードリンクが記載された大量のSMSメッセージ経由で）スマートフォンに侵入し、必要なモジュールをインストールした後、自身のショートカットアイコンを隠し、スマートフォンのシステム上で起こることをすべてバックグラウンドで監視し始めます。

インストールされたトロイの木馬「Faketoken」のアイコン

Faketokenは、通話を検知すると録音を開始し、通話が終わると録音データを犯罪者のサーバーに送信します。また、どの電話アプリが使われているのかもチェックします。

Faketokenは、自分が模倣可能なアプリの起動を検知すると、ただちにそのアプリの上に自らの画面を重ねて表示します。ここで使われるのは、アプリの画面を常に手前に表示するAndroid標準の機能です。メッセンジャーやウィンドウマネージャーなど、さまざまな正規アプリがこの機能を使用しています。

手前に表示されるウィンドウは、本来表示されるべきアプリのインターフェイスと同じ色をしています。Faketokenはこのウィンドウで、クレジットカードの番号とその裏面に記載されているセキュリティコードを入力するよう、スマートフォン利用者に指示します。

ロシアで人気のタクシー配車/予約アプリになりすますトロイの木馬

Faketoken.qが狙うのは、ある共通点を持つアプリです。その共通点とは、「決済データの入力を要求しても不自然でなく、誰も疑わない」というもの。標的となったアプリは、モバイルバンキングアプリ、Android Pay、Google Play Store、フライトやホテルの予約アプリ、交通違反の罰金支払い用アプリなど多数に上り、タクシー配車アプリもその1つです。

さて、標的からお金を盗もうという段階になると、Faketokenはもう1つの策略を用いて、受信したSMSメッセージをすべて傍受し、標的の目に入らないようにして犯罪者のサーバーへ転送します。このサーバーで、決済の確認用のワンタイムパスワードがSMSメッセージから抜き出されるのです。

モバイルプラットフォームを狙うマルウェアが飛躍的に機能強化を遂げています。中には決済システムの2段階認証を迂回するものも。 https://t.co/eCgJp37Ctd pic.twitter.com/t5w5EJ4aHX

— カスペルスキー 公式 (@kaspersky_japan) April 2, 2016

検知された攻撃数の少なさと、不自然なユーザーインターフェイス（上のスクリーンショットを参照）から判断すると、Kaspersky Labの調査チームが入手したのはFaketokenのテストバージョンの1つであって、最終バージョンではなさそうです（英語記事）。

しかし、Faketoken作成者たちの粘り強さは認めざるを得ません。彼らはこのトロイの木馬を改善してくるでしょう。そして、ある時点で「商用版」がリリースされ、感染の波が押し寄せてくるかもしれません。

今のところ、Faketokenの標的はもっぱらロシアのスマートフォン利用者です。しかし、これまで何度となく見てきたように、サイバー犯罪者は常にアイデアを盗み合っています。他の国で同じ手口が使われるようになるまで、それほど時間はかからないでしょう。都会に住んでいる人はかなりの割合でタクシー配車アプリをインストールしているので、この手口がマルウェア作成者にとって絶好のチャンスをもたらすことは間違いありません。

それでは、Faketokenのようにカード番号を盗み、決済確認用のワンタイムパスワードの入ったSMSメッセージを傍受するモバイルプラットフォーム向けトロイの木馬から身を守る方法について、いくつかアドバイスを。

• 提供元不明のアプリのインストールを禁止するように、Androidを設定しましょう。［設定］ – ［セキュリティ］に進み、［提供元不明のアプリ］をオフにしてください。

• Google Playからダウンロードしたアプリであっても、インストール中にどのようなアクセス権限を要求してくるか常に注意しましょう（正規のアプリストアにも、トロイの木馬が潜んでいる可能性があります）。Androidのアクセス許可について、詳しくはこちらをご覧ください。
• アプリに潜む感染を見つけてくれるアンチウイルス製品をインストールし、スマートフォンを保護するのも一案です。たとえばカスペルスキー インターネット セキュリティ for Androidは、Google Playから無料でダウンロードできます（アプリ内購入あり）。