サイバー脅威
新型バンキングドロッパ「DawDropper」とダークウェブ内で展開される「ドロッパ提供型サービス(DaaS)」
一部の攻撃者は、モバイル用マルウェアの配布技術に高い需要があることに目をつけ、自身のドロッパを他の攻撃グループ向けに、Google Playから拡散させる有用なツールであると宣伝しています。こうした活動は、「サービスとしてのドロッパ(DaaS:Dropper-as-a-Service)」というビジネスモデルを形成するものです。
今年に入ってから、Google Play Store上に数多くのバンキングトロジャン用ドロッパが、次々と秘密裏に投入されています。この傾向から、ドロッパが検知回避の有効な手段として攻撃者に重宝されていることがうかがえます。さらに一部の攻撃者は、モバイル用マルウェアの配布技術に高い需要があることに目をつけ、自身のドロッパを他の攻撃グループ向けに、Google Playから拡散させる有用なツールであると宣伝しています。こうした活動は、「サービスとしてのドロッパ(DaaS:Dropper-as-a-Service)」というビジネスモデルを形成するものです。
2021年の後半、トレンドマイクロでは、新しいドロッパの亜種「DawDropper」を用いた攻撃キャンペーンの存在を確認しました。DawDropperは、セキュリティ検知を回避するためにAndroid用アプリ(Video Motion、Document Scanner Pro、Conquer Darkness、simpli Cleaner、Unicc QR Scannerなど)に偽装して拡散し、サードパーティ製クラウドサービス「Firebase Realtime Database」を用いてペイロードの取得先アドレスを動的に変更します。ペイロードの格納先としては、GitHubを使用します。なお、本報告時点で、上述した不正なアプリはGoogle Play Store側ですでに無効化されています。
本稿では、新型ドロッパ「DawDropper」の技術的な詳細について述べた上で、2022年前半にリリースされたバンキングドロッパに見られる傾向と変化について解説します。さらに、サイバー犯罪グループがディープウェブ内で行っているDaaS活動に関する調査結果を報告します。
DawDropperの技術的分析
トレンドマイクロの調査によると、DawDropperには4種類のバンキングトロジャン(Octo、Hydra、Ermac、TeaBot)をドロップする亜種が存在します。これらの亜種は全て、正規のクラウド型NoSQLデータベース「Firebase Realtime Database」をデータ用ストレージおよびコマンド・コントルール(C&C)サーバとして使用し、GitHubリポジトリを不正なペイロードの格納先として使用します。
DawDropperとClast82の類似性
2021年3月にCheckPointの研究チームが報告したドロッパ「Clast82」も、DawDropper同様にFirebase Realtime DatabaseをC&Cサーバとして利用していることが判明しました。
DawDropperのC&CサーバはClast82と類似したフォーマットの応答データを返却します。
Octoのペイロード
DawDropperは、マルウェアファミリ「Octo」に所属する不正なペイロードをドロップします。当該マルウェアはモジュール構成によって処理を多段階に分けて実行するように設計され、バンキング情報の窃取やテキストメッセージの傍受、感染した端末のハイジャックを行います。Octoは「Coper」の名前でも知られ、当初はコロンビアのオンラインバンキング・ユーザがその標的とされていました。
DawDropperがドロップするOctoのペイロードは、以前報告された亜種と類似していることが分かりました。実際にソースのパッケージ構成を見比べたところ、両者とも、クラス名にプログラミング言語のキーワードを用いる形で難読化が施されていました。
標的端末で起動に成功したマルウェア「Octo」は管理者権限の取得後、端末を起動状態に保ちながら、機密情報をC&Cサーバにアップロードするために必要なサービスをスケジュールタスクへ登録します。また、スクリーンショットやオンラインバンキングなどの認証情報、メールアドレス、パスワード、PINコードといった機密情報の窃取には、遠隔操作機能のVNC(Virtual Network Computing)が攻撃者によって使用されます。さらに本マルウェアは、画面の表示を消すために端末のバックライト設定をOFFに、不正な処理を隠蔽するためにサウンド設定をOFFに変更します。
さらにOctoはGoogle Play Protect(端末内のアプリを検索して不正な挙動を監視する機能)を無効化し、感染した端末からAndroid ID、連絡先リスト、インストール済みのアプリ一覧、さらにはテキストメッセージの収集を行います。
2022年初頭におけるバンキングドロッパの傾向
不正なドロッパから配布されるバンキングトロジャンの傾向をより明確に把握するため、2022年前半にバンキングドロッパがどのような形でGoogle Play Store上に出現するようになったか、各ドロッパがそれぞれどのように異なり、進化してきたか、そしてサイバー犯罪グループがどのようにドロッパを拡散させてきたのかについて、調査を行いました。
バンキングドロッパ間に見られる主要な差異
上で挙げたバンキングドロッパは、全て標的端末にマルウェアをインストールするという共通の目的を持っていますが、その実現手段については際立った差異が見られました。例えば、今年の初頭に利用され始めたドロッパはペイロードのダウンロード先アドレスをハードコーディングしていたのに対し、最近になって利用され始めたドロッパはダウンロード先アドレスを秘匿する傾向があり、C&Cサーバとしてサードパーティ製サービスを利用する、不正なペイロードの保管にGitHubを利用するなどのケースが確認されました。
ドロッパの種別とリリース日 |
動的アドレスの使用 |
サードパーティ製ストレージの使用 |
ペイロードの暗号化 |
|
|
|
✓ |
|
✓ |
|
|
|
✓ |
|
|
|
✓ (Firebase Realtime Database) |
✓ (GitHub) |
|
|
✓ (GitHub) |
✓ (GitHub) |
|
|
✓ (Firebase Realtime Database) |
✓ (GitHub) |
|
|
✓
|
|
|
|
✓ (Firebase Realtime Database) |
✓ (GitHub) |
|
Brunhildaの名前でも知られる以下のドロッパはDaaSの1つとして初めて、2020年の終わり頃に報告されました。2022年1月、このドロッパは標的端末に不正なペイロードを直接ダウンロードして独自の方法で復号することが、トレンドマイクロの調査によって判明しました。
Vultur(SHA-256:00a733c78f1b4d4f54cf06a0ea8cc33604512d6032ef4ef9114c89c700bfafcf)
2022年1月にリリースされた以下のドロッパは、ドロッパとして動作するだけでなく、標的端末でのアクセス権限を取得した上で、ユーザインターフェース上のあらゆる操作に応答する機能を持つ点で特徴的です。
Sharkbot(SHA-256: 7f55dddcfad05403f71580ec2e5acafdc8c9555e72f724eb1f9e37bf09b8cc0c)
一方、2022年4月にリリースされたドロッパ「TeaBot」は、マルウェアのペイロード本体をGitHubリポジトリに、ダウンロード先アドレス情報を別のGitHubリポジトリに格納します。これに対し、DawDropperはダウンロード先アドレス情報をFirebase Realtime Databaseに格納する点で、差異が見られます。
ダークウェブ内で展開するDaaSの活動
ドロッパを用いたバンキングトロジャンに対する調査の中で、2021年にはじめて報告されたドロッパ「Gymdrop」が、ドロッパとペイロードの双方を管理可能な以下の管理パネルと接点を持つことが分かりました。また、このGymdropはダークウェブのフォーラム上で、典型的なDaaSとして宣伝されていたことが判明しました。
trackerpdfconnect[.]com
smartscreencaster[.]online
結論およびセキュリティに関する推奨事項
サイバー犯罪者グループは、セキュリティ検知を回避してより多くの機器を感染させようと、常に画策しています。今回、バンキングトロジャンの動向について約半年ごとに分析した結果、不正なペイロードをドロッパに隠蔽するなど、検知回避の技術が進化していることが判明しました。バンキングトロジャンの配布がDaaSによって加速したことを踏まえると、攻撃者は今後、正規アプリに偽装したマルウェアをより簡単かつ低コストな手段で配布できるようになるでしょう。この傾向は継続すると考えられ、将来的にはより多くのバンキングトロジャンが、さまざまなデジタル上の配布サービスを経由して拡散していくと予想されます。
不正なアプリの被害に遭わないようにするため、ユーザは下記ベストプラクティスを実施することを推奨します。
- アプリをダウンロードする前に、ユーザレビューにおいて不審な挙動や望ましくない動作について報告されていないか確認する。
- アプリの開発者や配布者の信頼性について十分な注意を払う。不審と思われるWebサイトからアプリをダウンロードしない。
- 提供元が不明のアプリはインストールしない。
モバイル機器のユーザは「Trend Micro Mobile Security」を用いることで、上述した不正なアプリをはじめとする脅威を最小限に抑え込むことが可能です。本製品はAndroidとiOSの双方に対応し、リアルタイムまたはオンデマンドで端末をスキャンすることで、不正なアプリやマルウェアを事前に阻止または削除することが可能です。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
• 「Examining New DawDropper Banking Dropper and DaaS on the Dark Web」
By: Trend Micro Research
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)