サイバーニュース.jp

世界のサイバーなニュースを配信

Androidユーザーを狙うバンキング型トロイの木馬、政府機関や信頼された決済アプリを装う

カテゴリ:

, , , , , , , , ,

2024年8月以降、金銭目的の脅威グループが、インドネシアとベトナムのAndroidユーザーを標的に、政府の公式身分証明アプリや決済アプリを装ったバンキング型トロイの木馬を展開しています。この攻撃者は、巧妙なダウンロードメカニズム、インフラの再利用、テンプレートベースの偽サイトを活用し、検出を回避してユーザーの認証情報を盗むための連携キャンペーンを実施しています。

このキャンペーンは、研究者が偽のGoogle Playストアページで不審なHTML要素を発見したことから明らかになりました。「VfPpkd-jY41G-V67aGc」のような文字列は、ストアフロントがクローンされたものであることを示唆していました。あるドメイン、icrossingappxyz[.]comでは、偽の「Google Playでダウンロード」と「App Storeでダウンロード」ボタンが表示されていました。Appleのリンクは機能せず、Androidボタンをクリックすると、Socket.IOラッパーによって駆動されるページ内プログレスバーが開始されました。これは正規のダウンロードページとしては非常に異例です。

舞台裏では、ページはWebSocket接続を開き、「startDownload」時にサーバーが.apkファイルを複数のチャンクに分割してストリーミングしていました。各チャンクが到着するたびに、JavaScriptがプログレスバーを更新し、ネイティブのダウンロードプロセスをシミュレートしました。「downloadComplete」時には、スクリプトがすべてのチャンクを連結し、MIMEタイプ「application/vnd.android.package-archive」のblob URLを作成し、目に見えないアンカー要素を生成してプログラム的にクリックすることで、ブラウザのファイルダウンロードプロンプトをトリガーしました。この方法は、直接的な.apkリンクをブロックするネットワークセキュリティフィルターを回避し、静的な悪意のあるURLを探す自動スキャナーを欺きました。

ユーザーが最終的にファイル(多くの場合「IdentitasKependudukanDigital.apk」という名前)を受け取ると、標準のダウンロード警告が表示されました。分析の結果、ペイロードはBankBot.Remoの亜種であることが判明しました。このトロイの木馬は、2016年にソースコードが流出し、多数の派生型を生み出しています。

### テンプレートベースの偽装アプリ

高度なWebSocket配信と並行して、攻撃者はtwmlwcs[.]ccでホストされているM-Pajak税金支払いアプリのクローンなど、人気のある地域アプリを模倣したよりシンプルな偽サイトも展開しました。このサイトは、M-Pajak.apkへの直接ダウンロードリンクを使用しており、そのSHA-256ハッシュ(e9d3f6211d4ebbe0c5c564b234903fbf5a0dd3f531b518e13ef0dcc8bedc4a6d)は別のBankBotローダーであることを示していました。HTMLにはタイ語、ベトナム語、ポルトガル語、インドネシア語の文字列が混在しており、ローカライズロジックなしで再利用された汎用テンプレートが使用されていることを示唆しており、これは洗練されていない下位の攻撃者の証拠です。

さらなる亜種は、dgpyynxzb[.]comやykkadm[.]icuのようなドメインのオープンディレクトリリストに保存されていました。これらのインデックスには、BCA.apk、Livin.apk、OCBCmobileid_022025AC.apkなど、多数の正規のバンキングアプリを装ったAPKが明らかになりました。これらはそれぞれ固有のSHA-256ハッシュを持っていましたが、すべてsaping.ynhqhu[.]comやadmin.congdichvucongdancuquocgia[.]ccのようなC2ドメインに接続するように設定されたBankBotの亜種をロードしていました。

### 運用パターンが示す地域的焦点

過去1年間で、研究者はこのキャンペーンに関連する100以上のドメインを特定しました。DNSおよび登録メタデータの分析により、一貫したフットプリントが示されました。ほとんどのドメインはAlibaba ISPを使用し、Gname.com Pte. Ltd.をレジストラとし、share-dns[.]netまたはCloudflareのネームサーバーを共有していました。TLS証明書はドメインのペア間で頻繁に再利用され、複数のドメインがシンガポールとインドネシアに分散した同じIPアドレスに解決されており、クラスター化されたホスティングインフラを示唆しています。

ドメイン登録と初回DNSクエリの時間分析では、ほぼ同一のヒートマップが作成され、登録からアクティブな解決まで平均10.5時間の遅延がありました。両方の活動は東アジアの昼間時間(UTC+7からUTC+9)にピークを迎え、インドネシアとベトナムの被害者に焦点を当てている攻撃者の意図と一致しており、グループの地域的な存在を示唆しています。

このキャンペーンは、脅威アクターが高度な難読化技術(WebSocketベースのチャンクダウンロード)と大量のテンプレート偽装を組み合わせて、セキュリティ制御を回避し、ユーザーを騙してマルウェアをサイドロードさせる方法を浮き彫りにしています。これらの戦術にもかかわらず、最新のブラウザのダウンロード警告は重要な検出手段となりますが、エンドユーザーは引き続き警戒を怠らない必要があります。

このキャンペーンにおけるAlibaba ISP、Gnameレジストラ、share-dns[.]netネームサーバーの一貫した使用は、防御側にとって明確な侵害指標を提供します。組織は既知のC2ドメインをブロックし、公開サイトでの異常なWebSocketトラフィックを監視し、ユーザーに公式アプリソースの確認方法を教育することで、これらのバンキング型トロイの木馬によるリスクを軽減する必要があります。

元記事: [https://gbhackers.com/banking-trojans-targeting-android-users-disguise-as-government-and-trusted-payment-apps/](https://gbhackers.com/banking-trojans-targeting-android-users-disguise-as-government-and-trusted-payment-apps/)

投稿をさらに読み込む