HydraAndroidトロイの木馬

Hydra Androidトロイの木馬は、この脅威の最初のサンプルが2019年に発見されたため、しばらくの間アクティブな攻撃キャンペーンで使用されてきました。それ以来、脅威は複数のバージョンを経て、脅威機能が何度か拡張されています。ただし、Hydra Android Trojanの主な目標は変わりません。つまり、銀行や金融サービスの被害者の資格情報を収集することです。

Hydra Androidトロイの木馬を展開する最新のキャンペーンは、MalwareHunterTeamとCybleのサイバーセキュリティ研究者によって発見されました。脅迫的な作戦は、ヨーロッパの電子バンキングプラットフォーム、より具体的にはドイツで2番目に大きい銀行であるコメルツ銀行の顧客を対象としています。

有害な機能

脅威は、トロイの木馬化されたコメルツ銀行のアプリケーションを広めるルアーWebサイトを介して配信されます。被害者のデバイスに配備されると、Hydra AndroidTrojanはいくつかの重要な権限を要求します。まず、Androidのアクセシビリティサービスへのアクセスが必要です。これは、障害を持つ人々がAndroidデバイスをより快適に操作できるようにするために実装された正当なバックグラウンドサービスです。ただし、脅威はサービスを悪用して、デバイスの画面で発生するすべてのアクティビティを監視および傍受します。そうすることで、被害者が他のアプリケーションに入力した資格情報を確認できます。

脅威によって要求される2番目のアクセス許可はBIND_DEVICE_ADMINです。 Hydra管理者権限を付与し、デバイスのロック、画面ロックPINの変更など、さまざまな侵入アクティビティを実行できるようにします。マルウェアは、SMSへのアクセスまたは送信、電話の発信、被害者の連絡先リストへのメッセージの送信など、追加のアクションを実行できます。

最新のHydraAndroidトロイの木馬バージョンにも、S.O.V.A. Androidバンキングトロイの木馬と同様の方法でTeamViewer機能が搭載されています。さらに、通信にいくつかの暗号化技術とTORを使用することにより、検出回避が向上しています。