フィッシング
インドの銀行の利用客を狙った大規模なフィッシング攻撃と不正アプリを解説
インド国内にある7行の銀行の利用客をターゲットにしたフィッシング詐欺において、個人情報やクレジットカード情報を盗み出す5種類のAndroid向け不正アプリのバンキングマルウェアが確認されました。
インド国内にある7行の銀行の利用客をターゲットにしたフィッシング詐欺において、個人情報やクレジットカード情報を盗み出す5種類のAndroid向け不正アプリのバンキングマルウェアが確認されました。
インドでは、銀行の利用客を狙った攻撃が増加しており、そのエントリーポイントはフィッシング詐欺のリンクを含むテキストメッセージ(SMS)であることが一般的です。これらのSMSの内容は、被害者にフィッシング詐欺のリンクやAndroid向け不正アプリのダウンロードページを開かせ、指示に従うよう促します。具体的には、PII(個人特定可能な情報)やクレジットカード情報を入力すれば、税金やクレジットカードのポイントの還元を受けられるというものです。現時点では、この攻撃に関与する5種類のバンキングマルウェアElibomi、FakeReward、AxBanker、IcRAT、そしてIcSpyが確認されています。
標的となった利用客の中には、インド国内の銀行7行(大手銀行を含む)の口座所有者が含まれていることを確認しました。今後、さらに数百万人の利用者が影響を受ける可能性があるとトレンドマイクロは分析しています。これらの手口に共通している点は、正規の銀行のロゴや名称、そして提携するブランドやサービスを悪用し、フィッシング詐欺用のサイトがあたかも正式な提携先であると被害者に信じ込ませる点です。本記事では、確認されているバンキングマルウェアのうち3種類とそれらの最新情報について説明します。なお、IcRAT及びIcSpyについては既に文書化が行われ、個別の解説が存在します。Elibomiは、「バンキングトロジャン」に進化した既存のマルウェアです。一方、FakeReward及びAxBankerは新たに発見された「バンキングトロジャン」です。利用者は、これらの脅威に対して警戒を怠らず、マルウェアの攻撃から自身の情報やデバイスを確実に保護する必要があります。
進化したElibomi
/massive-phishing-campaigns-target-india-banks-clients/Picture1-JPv2.png)
Elibomiの第1、第2亜種による「fake certificates(偽造証明書)」及び「iMobile」を利用した活動は、2020年末に出現し、2021年中も継続しました。これは、被害者のPII(個人情報)及びクレジットカード情報を盗むよう設計されています。また、2022年の早い時期に、iAppで終わるパッケージ名を持つElibomiの新たな亜種によるフィッシング活動が観測されました。そして、この亜種から挙動が大きく変わったことも確認されています。具体的には、自動クリック、権限の付与、スクリーンショットのキャプチャなどのAccessibility権限を介して、攻撃者は一連のタスクを自動化しました。
/massive-phishing-campaigns-target-india-banks-clients/Picture2-JP.png)
/massive-phishing-campaigns-target-india-banks-clients/Picture3.png)
さらに最近、同じフィッシングサイトから配信されたElibomiの4番目の亜種について、パッケージ名が iAssistで終わっていることが確認されました。この亜種は、C&C(コマンド&コントロール)サーバの代替としてFirebaseのリアルタイムデータベースを追加し、さらに検出回避のためにRDVerifyという環境チェックツールを追加しています。次のセクションでは、Elibomiの第3、第4亜種が用いる様々なコマンド及び機能、そして、これらの進化の背景について詳しく説明します。また、Cybleのセキュリティ研究者により、2022年10月のバージョンにおいて再び最新のアップデートが観測されていることも注目すべき点です。
概要:自動化されたElibomiの亜種
亜種の「自動化されたワークフロー」の枠組みに従い、3番目の亜種を「iApp」、そして4番目の亜種が「iAssist」と命名されました。それぞれのルーチンから見つかったコマンド及び機能を分析します。
/massive-phishing-campaigns-target-india-banks-clients/Picture4-JP.png)
複雑なコマンドフォーマット
3番目及び4番目の亜種のルーチンを観測すると、Elibomiは複雑かつ長いコマンドリストを有していることが確認できます。また、不正な活動のために3種類のコマンドを備えています。これらは、タスクコマンド、サーバコマンド、そして自動コマンドです。
タスクコマンド
タスクコマンドは、3つのコマンドの中でメインとなるコマンドです。複雑なタスク処理のために再帰コマンドとして機能します。また、同時に非再帰コマンドとしても機能します。
- 非再帰コマンド:コマンド名及びそれに対応するオペランドを含む単一のコマンドであり、これを「:::」で分割することによりsub-termsを得ることができる。
- 再帰コマンド:非再帰コマンドを得るために「,」または「-」で分割できるコマンドの組み合わせ。
例えば、Elibomiがユーザに気付かれずにデバイスのロックを解除する必要がある場合、マルウェアはこの再帰コマンドを利用し「wakeup(起動)」、「スクリーンオーバーレイの削除」、「ジェスチャーの組み合わせによるスクリーンピンまたはパターンをアンロック」の3つのタスクを実行します。
/massive-phishing-campaigns-target-india-banks-clients/Picture5-JP.png)
サーバコマンド
このコマンドは、バックエンドサーバに実行結果を返します。例えば、「D:::Unlock has been executed - ##-##」は、タスクコマンドがデバイスのロックを解除することに成功したことを伝えます。
自動コマンド
自動コマンドは、Elibomiの自動化されたワークフローにおいて重要な役割を果たします。Elibomiは、Accessibilityを利用し不正活動を行います。一例として、自動コマンドはElibomiがMedia Projectionを自動的に有効にする役割を担っています。攻撃者がAccessibilityの許可を得た後にタスクコマンド「MEDIAPROJECTION」を受け取ると、Elibomiは以下の自動コマンドを作成しMedia Projectionのダイアログボックスにおいて「START NOW」をクリックします。
SCREENCLICK:Button:start now|ok|accept|allow
/massive-phishing-campaigns-target-india-banks-clients/Picture6.png)
完全に自動化されたマルウェア
Elibomiの最新の亜種2つのルーチンを分析すると、このマルウェアはユーザに気付かれることなく、デバイスのUI(ユーザインターフェース)に自動的に影響を及ぼすことが可能であることが確認できました。Elibomiは、「完全に自動化されたマルウェア」として活動するために、起動時にメッセージを表示し、Googleのアプリケーションを装いAccessibility権限を有効にするようユーザに促します。そして、あたかもAccessibilityの許可を急がせるようなダイアログボックスを起動時に表示し、ユーザにその要求を許可するように促します。
/massive-phishing-campaigns-target-india-banks-clients/Picture7.png)
以下は、最新の亜種においてElibomiの自動化ワークフローに追加された不正なタスクの全リストです。
表1: Elibomiの最新の2亜種に追加された不正なタスクのリスト
こちらをご参照ください。
Elibomiは、Android 12以下が対象であり、「自動的に機密情報への権限を攻撃者へ付与すること」、「提供元不明のアプリのインストールを有効にすること」、そして「GooglePlayプロテクトを無効にすること」等の設定を行います。なお、Android 13は、Googleが最新バージョンでAccessibility権限を制限しているため影響を受けません。
動画1:Elibomiがユーザのモバイル端末でどのように動作するか
<動画参照(英語)>
オーバーレイのメカニズム
iApp及びiAssistの両活動において、Elibomiはユーザの認証情報を窃取するためにオーバレイを使用するのではなく、ユーザからの追跡の回避手段(windowにビューを追加する方法により)としてオーバーレイを使用します。
待機画面のオーバーレイ
ユーザから視覚的に検出されるのを回避するために、ElibomiはサービスのAccessibility権限を獲得した後、待機画面を表示します。しかし、この時点で既にバックグラウンドで自動化されたワークフローが実行されており、攻撃者に機密性の高いパーミッションが付与されています。
/massive-phishing-campaigns-target-india-banks-clients/Picture8.png)
Elibomiは、「SYSYTEM_ALERT_WINDOW」パーミッションの代わりに「TYPE_ ACCESSIBILITY_ OVERLAY」という別のwindow タイプを使用し、既存のwindowにさらなるビューを追加します。
/massive-phishing-campaigns-target-india-banks-clients/Picture9.png)
フェイク・ピン・オーバーレイ
Elibomiは、端末のロックを自動的に解除するために、オーバーレイ画面を被害者に表示します。これにより、ユーザの行動を監視し、ジェスチャーやクリックを記録することでユーザが保存したピンコードやパターンを盗み出します。
/massive-phishing-campaigns-target-india-banks-clients/Picture10.png)
/massive-phishing-campaigns-target-india-banks-clients/Picture11.png)
iAssist による活動(Elibomiの亜種として)
私たちは、4つ目の亜種において、「自動化されたワークフロー」に追加された、あるタスクに注目しました。それは、「支払いを続けると損失を招く恐れがあります(UIに表示)」というメッセージにより「支払いリスクの通知」が検知されますが、自動で「リスクを無視する」をクリックし警告のダイアログを解除するものです。この警告は通常、銀行アプリの使用中に支払いや送金が発生するリスクがある場合に表示されるため、このマルウェアの背後にいる攻撃者が、被害者のデバイスから気付かれずに自動送金を行うためにElibomiをアップデートまたは強化していることを示している可能性があります。
/massive-phishing-campaigns-target-india-banks-clients/Picture12.png)
FakeReward:インドにおける3つの大手銀行の利用客を標的とした攻撃
2022年8月、インドの大手銀行3行の利用客を狙ったFakeRewardと名づけられた攻撃が見つかりました。攻撃者は、被害者を混乱させるために、正規のドメインと類似した複数のドメインを登録していました。これらのフィッシングサイトは3行の公式サイトを装い、社名やロゴに至るまで外見を似せていました。
/massive-phishing-campaigns-target-india-banks-clients/Picture13.png)
FakeReward(バンキングトロジャン)は、起動時にSMSの許可を要求するページを表示します。許可されると、このマルウェアはデバイスの全てのテキストメッセージを収集しリモートサーバにアップロードします。そして、受信したSMSメッセージを聞くためのモニターをセットアップし、リモートサーバに同期させます。トレンドマイクロは、当該攻撃に関してソーシャルメディア上で最初の情報を公開し、セキュリティチームと各銀行の利用客に対して、このマルウェアに対する警戒を呼びかけました。
/massive-phishing-campaigns-target-india-banks-clients/Picture14.png)
最新の変更点
最新の情報によると、FakeReward マルウェアはSMSへのAccessbility権限を直接要求する代わりに、テキストメッセージの内容を抽出するために通知権限を要求することが判明しました。
/massive-phishing-campaigns-target-india-banks-clients/Picture15.png)
また、K7 Security Labs及びMalwareHunterTeamのセキュリティ研究者は、少なくとも他の5つのFakeRewardの亜種サンプルを確認しています。近年、インドのユーザを狙うFakeRewardマルウェアのファミリや亜種が増加しており、それらのTTPs(戦術、テクニック、手順)を調査すると類似点が多いものの、それぞれのコードに違いが見られることが判明しました。なお、トレンドマイクロの製品を使用することにより、このような新たなフィッシングファミリや亜種からデバイスを保護することが可能です。
FakeReward及びIcRATが関連している可能性
調査の過程で判明したことは、FakeReward及びIcRATが、ほぼ同時期に銀行の利用客を標的にしていたことでした。さらに、これら2つのマルウェアファミリのフィッシングサイトが類似していることも判明しました。このことから、これら2つのマルウェアファミリの背後にいる攻撃者が何らの関連性を持つと推測されています。
/massive-phishing-campaigns-target-india-banks-clients/Picture16.png)
/massive-phishing-campaigns-target-india-banks-clients/Picture17.png)
AxBanker:銀行の利用客を狙った偽アプリ
銀行2行の利用客を標的としたバンキング型マルウェアであるFakeRewardに加え、別のインドの大手銀行の利用客を標的としたバンキングトロジャンも発見されました(2022年8月下旬から活動開始)。このウェブサイトは、利用客に対し「リワードポイントを得られます」と伝える類似した手法を用いて、被害者がアプリをダウンロードし、インストールするよう誘導します。
/massive-phishing-campaigns-target-india-banks-clients/Picture18.png)
マルウェアがインストールされ起動すると、受信したSMSをキャプチャしてリモートサーバにアップロードするためにSMSのパーミッションを要求します。その後、マルウェアは被害者の個人データやクレジットカード情報を収集するために偽のページを表示します。
/massive-phishing-campaigns-target-india-banks-clients/Picture19.png)
まとめ
これら全ての銀行向け不正プログラムの背後にいる攻撃者に繋がりがあると結論づけるには十分な証拠(盗まれたデータの種類やフィッシングの機能は類似していますが)がありません。Elibomiの背後にいる攻撃者の場合、Accessibility権限に関連するタスクの自動化から察すると、Androidの開発に関する知識が豊富で熟練している可能性が高いと考えられます。一方、FakeRewardの背後にいる攻撃者は、その痕跡を隠す能力から、攻撃の前にフィッシングマルウェアを展開していたことが推測できます。ここで使用されているフィッシングドメインは、3~4日間だけ動作しその後アクセス不能になります。なお、この新しい亜種を検出できるセキュリティ・エンジンは極僅かとなっています。
トレンドマイクロのモニタリングによると、インド国外の利用者がこれらのマルウェアファミリに狙われたことはないものの、インド国内におけるフィッシング活動が大幅に増加し、検知を回避する策が巧妙になってきていることが判明しています。このような増加の背景として、インドのアンダーグラウンド市場に参入する新たな攻撃者が増え、収益性の高いビジネスモデルを確立し、他の攻撃者と交流することによりアイデアを交換し、コネクションを築いていることが考えられます。銀行の利用者を含めユーザは、警戒を怠らず以下のベスト・プラクティスをご確認ください。
- テキストメッセージの送信元を確認してください。正規の企業や組織は、通知やプロモーションを送信する際には公式なチャンネルから配信しています。
- 提供元不明のアプリをダウンロード、もしくはインストールしないでください。公式なプラットフォームから正式な銀行アプリをダウンロードしてください。
- 信頼できないアプリやウェブサイトに個人情報を入力しないでください。必要に応じて、銀行や組織の正式なチャネルに問い合わせ、受信したメッセージにある進行中のプロモーションや発表があるか否かを確認してください。
- 不明なアプリにAccessibility権限などの機密性の高い権限を付与する前に、ダイアログボックス上のリクエスト及びメッセージをダブルチェックしましょう。
トレンドマイクロのソリューション
トレンドマイクロのモバイルセキュリティソリューションは、モバイルデバイスをリアルタイムかつオンデマンドでスキャンし、不正なアプリ、サイト、マルウェアを検出し、必要に応じてブロックまたは削除することができます。これらのソリューションは、Android及びiOSで利用可能であり、ユーザのデバイスを保護し、不正なアプリやWebサイトがもたらす脅威を最小化します。
IOC(痕跡情報)
IOC(痕跡情報)の全リストは、こちらをご覧ください。
参考記事
Massive Phishing Campaigns Target India Banks’ Clients
By: Trend Micro
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)