TsarBot バンキング型トロイの木馬

新たに発見された Android マルウェア TsarBot が、重大なサイバー脅威として浮上しました。このマルウェアは、銀行、金融、暗号通貨、電子商取引分野の 750 を超えるアプリケーションを標的とし、ユーザーの機密データに重大なリスクをもたらします。

TsarBot がデータを収集する方法

TsarBot は、オーバーレイ攻撃を利用して銀行の詳細、ログイン認証情報、クレジットカード情報を盗む、高度なバンキング型トロイの木馬です。北米、ヨーロッパ、アジア太平洋、中東など複数の地域で活動する TsarBot は、欺瞞的な戦術を使用してデバイスに侵入し、シームレスにデータを抽出します。

TsarBot の拡散方法: 罠とトリック

TsarBot は主に、金融プラットフォームを装った悪質な Web サイトを通じて拡散します。注目すべき例としては、Photon SOL 分散型取引プラットフォームの偽バージョンが挙げられます。この偽バージョンは、ユーザーを騙して不正な取引アプリをダウンロードさせます。さらに、フィッシングやソーシャル エンジニアリングの戦術も、その拡散に重要な役割を果たしています。

TsarBot のようなマルウェアは、一見無害なコンテンツに埋め込まれていることが多く、ドライブバイダウンロード、マルバタイジング、オンライン戦術、疑わしいダウンロードソース、スパムメール、偽のアップデート、海賊版コンテンツを通じてユーザーに感染します。一部の亜種は、ローカルネットワークや USB ドライブを通じて自己増殖することさえあり、封じ込めがさらに困難になっています。

TsarBot の仕組み: 欺瞞の達人

TsarBot は、インストールされると (多くの場合、Google Play Services に偽装されています)、正規のアプリケーションの上に偽のログイン画面を表示してオーバーレイ攻撃を実行します。これにより、疑いを持たれることなくログイン認証情報を収集できます。

TsarBot はオーバーレイ攻撃以外にも、画面録画、感染デバイスのリモート制御、偽のロック画面を使用して PIN やパスワードを盗み取るロック取得メカニズムなどの高度な技術を採用しています。また、黒いオーバーレイ画面でアクティビティを隠しながら、スワイプやタップなどのユーザー操作をシミュレートすることもできます。

コマンドアンドコントロール（C&C）接続

TsarBot は、WebSocket 接続を介してコマンド アンド コントロール (C&C) サーバーと通信し、リアルタイムのデータ盗難や不正行為を可能にします。これらの接続により、マルウェアは画面を操作したり、ジェスチャを実行したり、標的のアプリケーションと対話したりできるようになります。

このマルウェアは、インド、フランス、ポーランド、オーストラリアの銀行プラットフォーム、暗号通貨取引、ソーシャル メディア アプリケーションなど、標的となるアプリケーションの最新リストを維持しています。ユーザーがこれらのアプリケーションを操作すると、TsarBot は偽のフィッシング ページをオーバーレイして認証情報を収集し、収集したデータを C&C サーバーに送信します。

TsarBotから身を守る方法

TsarBot のような脅威から身を守るために、サイバーセキュリティの専門家は次のことを推奨しています。

• 信頼できないアプリソースやサードパーティストアを避ける
• フィッシングリンクや疑わしいウェブサイトに注意する
• セキュリティ強化のためGoogle Play Protectを有効にする
• 脆弱性を修正するためにデバイスを定期的に更新する
• 海賊版やクラック版ソフトウェアのダウンロードを控える

Android のバンキング型トロイの木馬はますます巧妙化しているため、ユーザーは常に警戒し、データを保護するために積極的なセキュリティ対策を講じる必要があります。