MalRhinoAndroidバンキング型トロイの木馬

MalRhino Android Banking Trojanは、Check PointResearchによって発見された未分類のマルウェアファミリーに属する2番目の脅威です。攻撃者はPixStealerという名前の他の脅威的な作品に対して最小限のアプローチを取りましたが、MalRhinoは典型的なAndroidバンキング型トロイの木馬とより一致しています。それは、脅威がいくつかの斬新な、またはめったに見られない技術を備えていないという意味ではありません。 2つの脅威間の接続は、マニフェスト、ログメッセージ、サービス名、メソッド名などの類似性に基づいて行われました。

MalRhino分析

この脅威はまた、Android AccessibilityServiceを悪用して有害なアクションを実行します。アクセシビリティサービスの目的は、障害を持つ人々がデバイスをはるかに簡単に制御できるようにすることです。ハッカーはそれを通して利用可能な多くの機能に気づきました迅速に、マルウェアの作成でサービスを悪用しています。たとえば、デバイスの画面で行われているアクティビティを監視し、それらを傍受することができます。さらに、攻撃者は、ユーザーがクリックやタップを行ったかのように、クリックやタップをシミュレートできます。

ただし、MalRhinoがアクセシビリティイベントを動的に処理できる方法は非常に興味深いものです。この脅威は、MozillaのRhinoフレームワークを介してJavaScriptを使用しています。その後、攻撃者は実行中の上位のアプリケーションをスキャンできます。対象のアプリケーションの1つと一致する場合、ハッカーはリモートアクセスを利用して特定のコードを実行できます。チェック・ポイントの研究者がマルウェアの脅威でこの手法を最後に観察したのは、Xbotバンカーマルウェアの一部として2016年にさかのぼります。

MalRhinoの攻撃チェーン

この脅威は、ブラジルのインターバンクのiTokenアプリケーションの偽のバージョンを介して展開されています。トロイの木馬化されたアプリケーションのパッケージ名は 'com.gnservice.betaであり、脅威がまだ開発の初期段階にあることを示している可能性があります。偽のアプリケーションは、公式のGooglePlayストアからダウンロードできることに注意してください。

被害者のデバイスに入ると、MalRhinoはアクセシビリティの許可を求めるメッセージを表示します。ユーザーをだますために、アプリケーションは正しく機能するために許可が必要であると偽ります。成功すると、トロイの木馬は対象のアプリケーション（主に銀行のアプリケーション、デバイスデータの収集、インストールされているアプリのリスト）を実行し、取得した情報をコマンドアンドコントロール（C＆C、C2）サーバーに送信できるようになります。脅威となる機能には、Nubankアプリからピンコードを取得することが含まれます。

MalRhinoの脅威は、アプリケーションが公式のストアプラットフォームを介してインストールされた場合でも、デバイス上のアプリケーションにアクセス許可を付与する際の注意の必要性をさらに示しています。