BrazKing Android Malware
BrazKingは、被害者の銀行の資格情報を収集するためにオーバーレイ攻撃を実行するモバイルバンキングマルウェアです。この脅威は、ブラジルにいるANdroidデバイスとユーザーを標的としています主に、おそらくそのオペレーターもこの地域にいることを示唆しています。 IBM Trusteerの研究者は、いくつかのBrazKingサンプルを分析した後、調査結果を含むレポートをリリースすることで、脅威に光を当てました。これまでのところ、専門家はBrazKingがまだ開発中であると確信しています脅威のより最近のバージョンで導入された重要な違いのために積極的に。
目次
Androidのアクセシビリティサービスの悪用
アクセシビリティ機能は、障害を持つ人々がモバイルデバイスをより快適に使用できるようにすることを目的としています。しかし、サイバー犯罪者はそれに磨きをかけ、感染したデバイス上で多数の不正なアクションを実行するためにサービスを悪用しています。 BrazKingはアクセシビリティサービスに依存していますこれにより、脅威は、ユーザーが付与する必要のある特定のアクセス許可の数を制限できるため、広範囲にわたっています。その結果、BrazKingは、疑わしくない少数のアクセス許可を要求します。
バックグラウンドで、BrazKingは画面タップのシミュレーション、キーロガールーチンの確立、RAT(リモートアクセストロイの木馬)としての機能、画面に表示されているメッセージのテキストをキャプチャすることによるSMSの傍受と読み取り、およびユーザーの連絡先リストへのアクセスを行うことができます。 「連絡先」画面から静かにそれらを読みます。この脅威は、アクセシビリティサービスの機能に基づいて永続性メカニズムも確立します。ユーザーが感染したデバイスを工場出荷時の設定に復元しようとすると、BrazKingはすぐに[戻る]ボタンと[ホーム]ボタンのタップをシミュレートします。同じ手法を使用して、ユーザーがマルウェア対策ソリューションを起動したり、デバイスのスキャンを実行しようとしたりするのを防ぎます。
感染ベクトル
被害者は、デマWebサイトのURLを含むフィッシングメッセージを介して、だまされて脅威をインストールします。欺瞞的なWebサイトは、ユーザーのデバイスのセキュリティが古く、ブロックされると主張するなど、恐ろしい戦術を使用しています。この存在しない問題を修正するために、ユーザーは、デバイスのオペレーティングシステムを「更新」する予定の提供されたボタンをクリックするように指示されます。実際には、BrazKingAndroidマルウェアを配信します。アプリケーションは不明なソースからのものであるため、ユーザーは引き続きダウンロードを承認する必要があります。その後、脅威は、Googleの要件としてそれらをマスクするために必要な小さな権限を取得しようとします。
オーバーレイ攻撃
以前のBrazKingバージョンは、ハードコードされたURLから対象の銀行アプリケーションの偽のログイン画面をフェッチしていました。最近のバージョンは、この手法から離れて、より合理化され、機敏で、とらえどころのないものになりました。実際、脅威はコマンドアンドコントロール(C2、C&C)サーバーを自動呼び出しし、必要なオーバーレイ画面をその場で要求します。サイバー犯罪者は、被害者が適切なアプリを起動するタイミングと、脅威自体の自動化された機能に任せるのではなく、資格情報取得プロセスをアクティブ化するタイミングを決定するようになりました。
BrazKing攻撃のもう1つの特徴は、ユーザーが承認した「android.permission.SYSTEM_ALERT_WINDOW」権限を必要としないことです。代わりに、マルウェアはオーバーレイ画面のURLをWebビューにロードし、ウィンドウに表示します。
モバイルバンキングマルウェアは進化を続けており、ユーザーはデバイスを保護するために必要な対策を講じ、不要なリスクにさらされないようにする必要があります。
