Perseus バンキングマルウェア
サイバーセキュリティアナリストは、Perseus Androidマルウェアと呼ばれる新たなAndroidマルウェアファミリーを特定しました。このマルウェアは、デバイス乗っ取り(DTO)や金融詐欺を実行するために、実際に広く展開されています。この脅威は、既存の手法と強化された運用上の柔軟性を組み合わせた、モバイルマルウェアの大きな進化を示しています。
目次
実績のあるマルウェア系統からの進化
Perseusは、よく知られたAndroidバンキング型トロイの木馬であるCerberusマルウェアとPhoenix Androidマルウェアを基盤として構築されています。2019年8月に初めて確認されたCerberusは、Androidのアクセシビリティサービスを悪用して権限を昇格させ、機密データを収集し、認証情報を盗むためのオーバーレイ攻撃を展開します。2020年にソースコードが流出した後、Alien、ERMAC、Phoenixなど、複数の派生マルウェアが登場しました。
PerseusはPhoenixのコードベースを拡張し、より適応性と能力の高いプラットフォームへと進化しました。アプリ内の広範なログ記録や異常なコードアーティファクトなどの兆候から、攻撃者が開発中に大規模言語モデル(LLM)を利用した可能性が示唆されます。
感染経路:IPTVアプリケーションを介したソーシャルエンジニアリング
この配布戦略は、ソーシャルエンジニアリングに大きく依存している。Perseusは、フィッシングサイト(多くの場合、IPTVサービスを装っている)にホストされたドロッパーアプリケーションを通じて配信される。この手法は、有料ストリーミングコンテンツへの不正アクセスを求めるユーザーを標的とするMassiv Androidマルウェアに関連するキャンペーンと類似している。
攻撃者は、一見正規のIPTVアプリに悪意のあるペイロードを埋め込むことで、ユーザーの疑念を薄め、感染成功率を大幅に高めている。今回の攻撃は、トルコ、イタリア、ポーランド、ドイツ、フランス、アラブ首長国連邦、ポルトガルなど、複数の地域にわたるユーザーを主な標的としている。
マルウェアの展開チェーンと既知のアーティファクト
Perseusの配信エコシステムの一部として、いくつかのアプリケーションが特定されています。
- Roja App Directa (com.xcvuc.ocnsxn) – ドロッパー アプリケーション
- TvTApp (com.tvtapps.live) – ペルセウスの主要ペイロード
- PolBox Tv (com.streamview.players) – 二次ペイロードバリアント
これらのアプリケーションは、マルウェアを侵害されたデバイスにインストールするための侵入経路として機能します。
高度なデバイス乗っ取り機能
PerseusはAndroidのアクセシビリティサービスを利用してリモートセッションを確立し、感染したデバイスとのリアルタイム監視と精密なやり取りを可能にします。この機能により、攻撃者はデバイスを完全に乗っ取ることができ、ユーザーのアクティビティを広範囲に制御できるようになります。
従来のバンキング型トロイの木馬とは異なり、Perseusは認証情報の窃盗にとどまらず、メモアプリを積極的に監視します。この挙動は、従来の認証情報フィールドには保存されていない可能性のある、価値の高い個人情報や金融情報を意図的に抽出する意図を示しています。
主要な攻撃手法:オーバーレイと入力傍受
Perseusは一度起動すると、Android向けバンキングマルウェアの確立された手法を用います。正規の銀行アプリや暗号通貨アプリの上に偽のインターフェースを表示するオーバーレイ攻撃を仕掛け、ユーザーの認証情報をリアルタイムで取得します。さらに、キー入力ログ機能を使って、入力された機密データを傍受します。
指揮統制作戦:遠隔操作フレームワーク
このマルウェアはコマンド&コントロール(C2)インフラストラクチャを介して制御され、オペレーターはコマンドの発行、デバイスの動作操作、不正取引の承認を行うことができます。主なサポートコマンドは以下のとおりです。
- データ抽出と監視(例:Google Keep、Evernote、Microsoft OneNoteなどのアプリからのメモの取得)
- VNCおよびHVNCを介したリモートセッション管理によるリアルタイムまたは構造化されたUI操作
- アクセシビリティサービスを使用したスクリーンショットのキャプチャ
- アプリの起動や制限の解除など、アプリケーションの制御を行います。
- 黒い画面オーバーレイや音声ミュートなどのユーザー欺瞞戦術
- 未知のソースからの強制インストールと、ユーザー操作のシミュレーション
この包括的なコマンドセットにより、攻撃者は侵害したデバイスを永続的かつ秘密裏に制御することが可能になります。
回避戦術と環境認識
Perseusは、検出を回避するために高度な解析回避技術を採用しています。デバッグツールの特定、SIMカードの有無の確認、インストールされているアプリケーション数の分析、バッテリー残量の検証など、広範な環境チェックを行い、実機での実行を確認します。
このマルウェアは、これらのデータを集約して「疑わしさスコア」を算出し、C2サーバーに送信します。オペレーターはこのスコアに基づいて、さらなる攻撃を実行するか、検出を避けるために活動を停止するかを判断します。
戦略的意義:進化による効率性の向上
Perseusは、Androidマルウェアの進化を象徴する存在であり、新たな脅威はゼロから開発されるのではなく、既存のフレームワークを基盤として構築されることが増えている。CerberusとPhoenixから継承した機能と、メモの監視やリモートコントロール機能の強化といった的を絞った機能強化を組み合わせることで、Perseusは効率性と革新性のバランスを実現している。
このアプローチは、サイバー犯罪におけるより広範な傾向を反映している。すなわち、適応性、拡張性、および高価値データの抽出を優先することで、現代のマルウェア攻撃はより効果的になり、検出が困難になっている。
