BeatBanker バンキングトロイの木馬

BeatBankerは、Google Playストアを模倣した不正なウェブサイトを通じて拡散される、高度なAndroidマルウェアです。この悪質なキャンペーンは、正規のアプリに見せかけたアプリをダウンロードさせることでユーザーを騙し、実際には強力なバンキング型トロイの木馬と仮想通貨マイニング機能を組み合わせたマルウェアを仕込んでいます。インストールされると、マルウェアは感染したデバイスを乗っ取り、ユーザーインターフェースを操作し、不正な金融取引を実行します。脅威が検出されたら直ちに駆除することが不可欠です。放置すると、金銭的損失、プライバシー侵害、そして長期的なデバイスの侵害につながる可能性があります。

ファイルレス実行と解析対策技術

BeatBankerは実行時に、デバイスのIPアドレス、デバイスの種類、VPNの使用状況、関連する接続情報など、重要なネットワーク情報を収集することから始めます。マルウェアは、悪意のあるコンポーネントをデバイスのストレージにファイルとして保存するのではなく、コードを直接メモリにロードします。このファイルレス実行技術により、従来のモバイルセキュリティツールによる検出の可能性が大幅に低減されます。

分析をさらに回避するため、BeatBankerはエミュレーターやサンドボックスなどのテスト環境または研究環境内で実行されているかどうかをチェックします。そのような環境が検出された場合、マルウェアは直ちに動作を終了します。この防御メカニズムにより、サイバーセキュリティ研究者や自動システムがその動作を分析することを防ぎます。

偽のGoogle Playストアページを利用したソーシャルエンジニアリング

BeatBankerは環境チェックを通過すると、「INSS Reembolso」というラベルの付いたアプリケーションのGoogle Playストアページに酷似した偽のインターフェースを表示し、ソフトウェアのアップデートが必要であると偽って主張します。ユーザーが「アップデート」オプションを選択すると、マルウェアはアプリケーションのインストール許可を要求し、隠された悪意のあるコンポーネントをダウンロードします。

このマルウェアは、正規のGoogle Playインフラストラクチャを利用する代わりに、管理者権限を悪用してこれらのコンポーネントを直接インストールします。永続性を維持するために、マルウェアは偽のシステム更新通知を生成し、メディアをサイレントに再生するフォアグラウンドサービスを実行することで、オペレーティングシステムが悪意のあるプロセスを終了できないようにします。

被害者のデバイス上での仮想通貨マイニング

BeatBankerの隠しペイロードの一つは、ダウンロードされたファイルに埋め込まれた暗号通貨マイニングプログラムです。このコンポーネントは、感染したデバイスのCPUリソースを悪用して攻撃者に代わって暗号通貨をマイニングするように設計された、XMRigの改変版です。

このマルウェアは、バッテリー残量、デバイス温度、ユーザーアクティビティなどのシステムパラメータを監視することで、マイニング活動を巧妙に管理します。これらの状況に基づいて、マイナーは自動的に動作を開始または一時停止し、疑いを招きにくくして感染期間を延長します。

バンキング型トロイの木馬と仮想通貨窃盗のメカニズム

BeatBankerは、暗号通貨マイニング機能に加え、アクセス権限の取得を試みるバンキング型トロイの木馬を展開します。これらの権限を付与することで、攻撃者はデバイスのインターフェースを制御し、ユーザーの操作を監視できるようになります。

このマルウェアは、どのアプリケーションが開かれたかを積極的に追跡し、特にBinanceやTrust Walletなどの暗号通貨プラットフォームを標的にし、中でもUSDT取引に重点を置いています。被害者が送金を開始すると、BeatBankerは正規の取引インターフェースに不正な画面を重ねて表示します。この過程で、マルウェアは本来の受取人アドレスを攻撃者が管理するアドレスに密かに置き換え、被害者が気づかないうちに資金を不正送金させてしまいます。

このバンキングモジュールは、一般的に使用されている複数のモバイルブラウザの存在も評価し、閲覧情報を収集します。また、デフォルトブラウザに保存されているリンクを、追加、編集、削除、または一覧表示することで操作したり、攻撃者から提供されたURLを開くこともできます。

指揮統制機能およびデバイス操作

BeatBankerはコマンド＆コントロール（C2）サーバーと通信し、攻撃者が感染したデバイスをリモートで管理したり、コマンドを発行したりすることを可能にします。このインフラストラクチャを通じて、マルウェアは偽のシステムアップデートの表示、デバイス画面のロック、クリップボードの内容の抽出、音声録音の攻撃者への送信など、多岐にわたる悪意のある動作を実行できます。

その他の機能としては、SMSメッセージの送信、ブラウザでの攻撃者制御リンクの起動、保存された認証情報の更新、デバイスに保存されているファイルの一覧表示などが挙げられます。また、このマルウェアは、ファイルの削除、工場出荷時設定へのリセット、操作完了後の痕跡消去のための自己アンインストールなど、破壊的な動作を実行することもできます。

監視およびデータ抽出機能

BeatBankerは金銭的な窃盗だけでなく、高度な監視ツールとしても機能します。キー入力の記録、画面に表示されるテキストの抽出、スクリーンショットの撮影、そしてデバイスの画面のリアルタイムストリーミングが可能です。実行中のアプリケーションを継続的に監視することで、攻撃者はユーザーの行動を観察し、機密情報を収集することができます。

このマルウェアには、アプリケーション監視、選択したアプリをブロックまたは許可できる内蔵ファイアウォール、永続的な通知の作成、VPN接続の管理機能など、追加のデバイス制御メカニズムも含まれています。

権限の悪用と永続化メカニズム

BeatBankerは、デバイスに対する制御を大幅に強化する、リスクの高いAndroidの権限に大きく依存しています。これらの権限により、マルウェアはユーザーに気づかれることなく、永続的な動作を維持し、アクションを自動化し、コマンドを実行することができます。

これらの権限によって有効になる主な機能は以下のとおりです。

• アクセシビリティ機能により、自動タップ、スワイプ、インターフェース操作が可能になります。
• 正規のアプリケーションの上に偽の画面を表示できるようにするオーバーレイ権限
• 不明なソースからのアプリケーションのインストールを許可し、追加の悪意のあるコンポーネントをサイレントにインストールできるようにします。
• リンクを開く機能、USSDコードを実行する機能、およびさらなるマルウェアパッケージを展開する機能

これらの権限により、感染したデバイスは、複雑な悪意のある操作を実行できる遠隔操作可能なプラットフォームへと変貌する。

StarLinkアプリケーションを装った新たな亜種が出現

セキュリティ研究者らは、Androidユーザーを標的とした偽のStarLinkアプリケーションを装うBeatBankerの新たな亜種を特定した。以前のバージョンとは異なり、この亜種は従来のバンキング型トロイの木馬のコンポーネントをインストールしない。

その代わりに、BTMOBリモート管理トロイの木馬（RAT）を展開します。BTMOBは、攻撃者に侵害されたデバイスへの完全なリモートアクセスを許可し、マルウェア・アズ・ア・サービス（MaaS）として配布されるため、サイバー犯罪者は独自のマルウェアインフラストラクチャを開発することなく、このツールを購入して展開できます。

感染経路と運用上の影響

BeatBanker感染は通常、公式のGoogle Playストアに似せた偽のウェブサイトにユーザーを誘導するフィッシングキャンペーンから始まります。ユーザーは、「INSS Reembolso」などの政府関連サービスや同様の偽ユーティリティアプリを装った悪意のあるアプリケーションをダウンロードするように誘導されます。

被害者が偽造アプリケーションをインストールすると、デバイスは侵害されます。起動後、BeatBankerは暗号通貨マイナーを含む追加コンポーネントを取得し、デバイスへの永続的なアクセスを確立します。

このマルウェアの複合的な機能により、攻撃者は仮想通貨のマイニング、金融データの窃盗、取引の操作、感染したデバイスのリモート制御などが可能になります。一部の亜種は、BTMOBなどの追加のマルウェアも展開し、攻撃者に侵害されたシステムへの長期的かつ無制限のアクセス権限を与えます。