はじめに:巧妙なAndroidバンキングマルウェア「deVixor」
2025年10月以来、「deVixor」と名付けられた巧妙なAndroidバンキング型トロイの木馬が、モバイルユーザーにとって重大な脅威として浮上しています。このマルウェアは、金融データの窃取、デバイスの監視、そしてランサムウェア機能を単一の悪意あるプラットフォームに統合しており、Androidベースの金融脅威の進化における懸念すべき段階を示しています。
deVixorの脅威と拡散手口
deVixorは主に、正規の自動車ビジネスを装った偽の自動車ウェブサイトを通じて拡散されます。被害者は大幅な割引が提示された車の取引に誘惑され、知らずのうちに悪意のあるAPKファイルをダウンロードし、デバイスにdeVixorトロイの木馬をインストールしてしまいます。
Cyble Research and Intelligence Lab (CRIL)による700以上のサンプル分析から、脅威アクターが欺瞞的な配布方法を用いて大規模な感染キャンペーンを組織していることが明らかになりました。詐欺的なドメインには、asankhodroo[.]shop、asan-khodro.store、naftyar.infoなどが含まれます。
Telegramの通信における言語的要素、ペルシャ語のフィッシングオーバーレイ、そしてイランの銀行、国内決済サービス、地元の仮想通貨取引所への排他的な焦点など、複数の指標がイランのユーザーを特に標的にしていることを示唆しています。
標的と情報窃取の手口
deVixorは、銀行の認証情報や金融情報を盗むために複数の洗練された技術を採用しています。
- SMSベースの金融データ収集: 最大5,000件のSMSメッセージをスキャンし、ワンタイムパスワード(OTP)、口座残高、クレジットカード/デビットカード番号、銀行や仮想通貨取引所からのメッセージなどを抽出します。
- 標的銀行と取引所: Bank Melli Iran、Bank Mellat、Bank Tejarat、Bank Saderat Iranを含む26のイランの銀行と、Binance、CoinEx、Ramzinex、Exirなどの14の仮想通貨取引所を明示的に標的にしています。
- WebViewベースのJavaScriptインジェクション: 偽の銀行通知をタップすると、WebViewコンポーネント内で正規の銀行ウェブサイトが読み込まれます。この際、悪意のあるJavaScriptコードがログインフォームに注入され、ユーザーが認証情報を入力すると、それがサイレントにC2サーバーへ送信されます。
恐るべきランサムウェア機能
deVixorの最も懸念される機能の一つは、遠隔操作で起動されるランサムウェア機能です。脅威アクターが「RANSOMWARE」コマンドを発行すると、マルウェアは被害者のデバイスをロックし、仮想通貨での支払いを要求する身代金メッセージを表示します。
脅威アクターのTelegramチャンネルで共有されたスクリーンショットによると、被害者は「Your device is locked. Deposit to unlock」というメッセージと共に、TRONの仮想通貨ウォレットアドレスと50 TRXトークンの要求を目にします。ランサムウェアの設定は、永続的なファイル「LockTouch.json」に保存され、デバイスを再起動してもロックが解除されないようになっています。
高度なコマンド&コントロール基盤
deVixorの運用は、デュアルサーバーアーキテクチャを通じて高度なインフラ管理を示しています。
- コマンド受信用Firebase: オペレーターからのコマンドを受信するためにFirebaseを使用します。
- データ引き出し用C2サーバー: 盗んだデータを引き出すための別のコマンド&コントロールサーバーを維持しています。
- ユニークなボットID: 展開された各APKには、ローカルのport.jsonファイルにユニークなボットIDが割り当てられ、オペレーターはTelegramボットベースの管理パネルを通じて個々の感染デバイスを追跡、監視、制御できます。
脅威アクターのTelegramチャンネルからの証拠は、多数のデバイスが同時に感染していることを示しており、大規模なキャンペーンが活発に運用されていることを示唆しています。このチャンネルでは、バージョンアップ、新機能の宣伝、運用スクリーンショットなどが積極的に公開されており、deVixorが短期的な活動ではなく、継続的な犯罪サービスとして維持されていることを示唆しています。
進化を続けるdeVixor
複数の亜種の分析から、deVixorの機能が明確に進化していることがわかります。初期バージョンは、個人を特定できる情報(PII)の収集とバンキング関連のSMSメッセージの収集に限定された機能を持っていました。その後の亜種では、バンキングに特化したオーバーレイ攻撃、キーロギング、ランサムウェア機能、Google Play Protectバイパス技術、Androidのアクセシビリティサービスの広範な悪用が導入されました。
最新バージョンは、キー入力のキャプチャ、スクリーンショットの収集、通知の収集、連絡先の抽出、ギャラリーへのアクセス、アプリケーションの偽装など、包括的なデバイス制御を可能にする50以上のコマンドをサポートしています。バージョン2では、キーワードベースのメッセージ検索のためのSEARCH_ALL_SMS、デバイス通知収集のためのNOTIFICATION_READER、送信済みメッセージ履歴抽出のためのGET_ALL_SENT_SMSなどの追加コマンドが導入されています。
deVixorは、現代のモバイル脅威が基本的な認証情報窃取を超え、洗練されたリモートアクセスツールキットへと進化したことを示す、Androidバンキングマルウェアの懸念すべき進化を表しています。