BankBot RAT

BankBotは、Androidを標的とする強力なリモートアクセス型トロイの木馬です。インストールされると、デバイスを広範囲に制御することができます。Androidのユーザー補助機能を利用して権限を昇格し、ユーザーインターフェースの操作を自動化し、機密情報を収集し、金融詐欺、個人情報の盗難、マルウェアの拡散につながる可能性のある不正操作を実行します。感染が確認された場合は、直ちに修復する必要があります。

ステルスとデバイスプロファイリング

BankBotは分析を積極的に回避し、特定の環境のみを標的とします。エミュレータとサンドボックスのチェックを実行し、デバイスの属性（メーカー、モデル、ROM）を検査し、動作を調整することで、特定の実機で動作するように調整します。一方、ラボ環境では動作を休止状態または回避状態のままにします。また、このマルウェアは、Androidのバージョンとビルド、ブランドとモデル、製造元、ハードウェアIDとビルドID、製品名といったデバイスのテレメトリを収集・記録することで、標的のプロファイルを作成し、サポートされていないデバイスを除外します。

コントロールを獲得する：アクセシビリティの悪用と沈黙の持続

主要な戦術は、アクセシビリティサービスの悪用です。BankBotはアクセシビリティ設定を開き、ソーシャルエンジニアリングによってユーザーに悪意のあるアクセシビリティサービスを有効にさせます。この権限により、クリックの自動化、テキスト入力、その他の権限の有効化、ユーザーの同意なしのアクションの実行が可能になります。また、デバイス管理者権限の取得も可能です。再起動後もアクセスを継続的に維持するために、このマルウェアはネットワーク接続を必要とする繰り返しタスク（約30秒ごと）をスケジュールし、デバイスの再起動後も継続します。

機能 - BankBot でできること

BankBotの機能セットは、感染したスマートフォンをほぼ完全に制御することを可能にします。主な機能には、システムオーディオをミュートしてアラート（着信音、通知、メディア）を抑制する、権限を有効にする際に被害者の注意をそらすために偽のプロンプト（「個人情報確認」など）を全画面表示する、サービスと管理者ステータスを密かに有効化するなどがあります。プログラムによるアプリの開閉、画面の更新、タッチやスワイプのシミュレーション、画面のロック解除、通話転送の制御、SMSメッセージの送信、APKのインストールまたはアンインストール、ファイルのダウンロード、写真やスクリーンショットの撮影、ウィンドウの非表示、入力フィールドへのテキストの設定などが可能です。また、このマルウェアはAndroidのクリップボードを読み取り、その内容を盗み出すことでパスワード、シードフレーズ、その他の機密情報を取得するだけでなく、連絡先、SMS、インストール済みアプリリスト、デバイスステータス、位置情報も取得します。

銀行と暗号通貨を狙うアプリはどれか？

BankBotは、認証情報の窃取や不正取引の標的となる金融・銀行アプリのリストを提供するコマンド＆コントロールサーバーからの指示を受け取ります。また、アクセシビリティ機能を介してウォレットアプリのUIを自動化し、シードフレーズ、秘密鍵、取引詳細などの機密情報を読み取ることで、多くの暗号通貨ウォレットを標的とします。確認されたウォレットの標的の例には、以下が含まれます。

• AUTOS、Bitcoin、BitKeep、ブロックチェーンウォレット、Coin98 Super Wallet、Coinomi、Exodus、imToken、Krystal、MetaMask、MeWallet、SafePal、Status（イーサリアム暗号ウォレット）、TokenPocket、Trust Wallet、Valor。

欺瞞技術とアプリの偽装

BankBotは、疑念を抱かせないために、アイコンと名前を変更して正規のサービス（例えばGoogleニュース）を装い、WebView内で信頼できるように見えるウェブコンテンツを開くことができます。こうした外観の変更と、偽のreCAPTCHAのようなプロンプトや全画面の確認ダイアログを組み合わせることで、悪意のあるアクションがバックグラウンドで実行されている間に、ユーザーを騙して権限を付与したり、アプリを操作させたりします。

ユーザーがBankBotにアクセスする典型的な方法

多くの場合、被害者は騙されて自らBankBotをインストールします。一般的な感染経路は以下のとおりです。

• 攻撃者が管理するサイトまたはサードパーティのストアから APK をサイドロードする。
• 信頼できないアプリリポジトリを通じて配布される偽のアプリまたは悪意のあるアプリ。
• 疑わしいサイト上の偽の広告やポップアップからのドライブバイインストールまたはダウンロード。
• SMS、メッセージング アプリ、またはフィッシング メール内のリンク。

ソーシャル エンジニアリングは配布の中心であり、犯罪者は説得力のある誘い文句を巧みに作成して、ユーザーにマルウェアをダウンロードさせ、実行させます。

リスクと予想される影響

感染したデバイスは、アカウント乗っ取り、不正な金融取引、個人情報の盗難、プライバシーの侵害といった被害を受ける可能性があります。アクセシビリティの悪用、サイレントパーシステンス、デバイスプロファイリング、そして銀行・仮想通貨アプリへの標的型攻撃といった様々な攻撃手法が組み合わさることで、BankBotはスマートフォンに金融アプリや仮想通貨ウォレットをインストールしているユーザーにとって特に危険な存在となっています。

即時の封じ込めと回復の手順

• 疑わしい権限を取り消す: 不明なアプリのアクセシビリティと通知の権限を削除し、デバイス管理者の権限を取り消します。

• 悪意のあるアプリをアンインストールし、信頼できるモバイル セキュリティ製品を使用して完全スキャンを実行します。

• 金融口座やデバイスで使用されるすべてのサービスのパスワードを変更し、多要素認証を有効にします。この操作はクリーンなデバイスから実行してください。

• 不正行為が疑われる場合は、銀行またはウォレットプロバイダーに連絡し、不正な取引がないかアカウントを監視してください。

• シードフレーズまたは秘密鍵が公開された場合は、クリーンなデバイスで鍵が生成された新しいウォレット アドレスに資金を移動します。

防止

デバイスのOSとアプリを常に最新の状態に保ち、APKのサイドローディングや信頼できないソースからのアプリのインストールを避け、不明なソースからの自動インストールを無効にし、アクセシビリティやデバイス管理機能の有効化を促すプロンプトには注意し、トロイの木馬やアドウェアを検出・削除できる信頼できるモバイルセキュリティ製品を使用してください。また、サイドローディングや権限付与を容易にするソーシャルエンジニアリングの手口について、ユーザーと従業員に教育を実施してください。

要約 - BankBot を高リスクとして扱う

BankBotは、アクセシビリティの悪用、環境チェック、永続的なスケジュールタスク、UI自動化、そして銀行および暗号資産の標的型窃盗を組み合わせた、ステルス性に優れた機能豊富なAndroid RATです。深刻な金銭的およびプライバシー侵害を引き起こす可能性があるため、感染が疑われる場合は緊急対応が必要です。マルウェアを削除し、クリーンなデバイスでアカウントを保護し、上記の予防措置を講じて将来のリスクを軽減してください。