サイバーニュース.jp

世界のサイバーなニュースを配信

新種Androidバンキングトロイの木馬「Klopatra」、隠しVNCでデバイスを完全制御

カテゴリ:

, , , , , , , , ,

概要:高度なAndroidバンキングトロイの木馬「Klopatra」の出現

2025年8月下旬、Cleafyの脅威インテリジェンスチームは、「Klopatra」と名付けられた新種のAndroidバンキングトロイの木馬およびリモートアクセス型トロイの木馬(RAT)を発見しました。このマルウェアは、攻撃者に感染したデバイスの完全な制御を許可し、大規模な金融詐欺を容易にします。すでにスペインとイタリアで活発なキャンペーンが展開されており、3,000台以上のデバイスが感染し、主要な金融機関のユーザーが睡眠中に口座から資金を抜き取られています。

技術的洗練:VirboxとC/C++による難読化

Klopatraは、モバイルマルウェアでは珍しい商用グレードのコード保護ツール「Virbox」を統合している点で際立っています。さらに、コアロジックをJavaからネイティブのC/C++ライブラリに戦略的に移行することで、静的アナライザーやランタイム検出器からの可視性を劇的に低下させています。Virboxは、悪意のあるペイロードを複数の難読化層、アンチデバッグチェック、エミュレーター検出、および整合性検証で包み込み、研究者がその機能をリバースエンジニアリングするために多大な時間とリソースを費やすことを強います。これらの設計選択は、モバイル脅威のプロフェッショナル化を反映しており、犯罪組織がマルウェアの寿命と収益性を最大化するために高度な保護に投資していることを示しています。

トルコ語圏のグループによる開発と運用

コード内のトルコ語の関数名(例: ArkaUcKomutIsleyicisi、「バックエンドコマンドハンドラー」)や、コマンド&コントロール(C2)インターフェースのメタデータから、開発、展開、収益化を管理するトルコ語圏のグループが関与していることが明確に示されています。オペレーターのメモ(取引試行やPINコードを記録した口語的なトルコ語のフレーズ)は、開発から詐欺実行まで、すべての段階を扱う垂直統合されたトルコ語圏のグループの直接的な証拠を提供しています。

感染経路:ドロッパーからRATへ

Klopatraの感染は、「Mobdro Pro IP TV + VPN」という正規に見えるドロッパーから始まります。この海賊版ストリーミングアプリは、ユーザーを誘い込み、「不明なアプリのインストール」権限を有効にさせます。カスタムの「JSON Packer」を使用して、ドロッパーはメインペイロードを隠し、権限が付与されるとサイレントにインストールします。インストール後、トロイの木馬はすぐにアクセシビリティサービス権限を要求します。元々は障害を持つユーザーを支援するために設計されたこの強力なフレームワークにより、Klopatraは以下のことが可能になります。

  • 画面を監視し、画面上のテキスト(パスワードや残高を含む)をキャプチャする。
  • 入力を記録し、包括的なキーロガーとして機能する。
  • タップやジェスチャーをシミュレートし、バンキングアプリケーションを自律的にナビゲートする。

隠しVNC:究極のRAT機能

Klopatraの核心には、2つのモードを提供する組み込みのVNCサーバーがあります。

  • 標準VNC: デバイスの画面をオペレーターに表示し、ユーザーのアクティビティをミラーリングします。
  • 隠しVNC: 被害者のディスプレイに黒いオーバーレイをアクティブにし、デバイスの電源がオフになっているように見せかけながら、攻撃者が完全にステルスで操作を実行します。

この「ブラックスクリーン」トリックは、action_blackscreenコマンドを介して開始され、その後オペレーターは盗まれたPINやパターンを使用してデバイスのロックを解除し、バンキングアプリを起動し、ユーザーに警告することなく不正な送金を実行できます。

オーバーレイ攻撃とデータ窃取

直接制御を補完するのは、堅牢なオーバーレイモジュールです。ユーザーがターゲットのバンキングアプリや仮想通貨アプリを開くと、KlopatraはC2サーバーからカスタムHTMLを取得し、ログイン画面の完璧なレプリカを挿入します。不注意なユーザーが入力した認証情報は直ちに窃取されます。同時に、トロイの木馬はデバイスのメタデータ(モデル、バッテリーレベル、インストールされているアプリ)を収集し、すべてのデータをBase64エンコードされたJSONオブジェクトにパッケージ化してC2に送信します。

ボットネットとC2インフラストラクチャ

Cleafyの分析により、2つの主要なボットネットが特定されました。

  • adsservices.uk: スペインに焦点を当てた約2,433件の感染。
  • adsservice2.org: イタリアをターゲットにした約495件の感染。

小規模な3番目のサーバー(141.98.11.227)もスペインの被害者にサービスを提供しています。4番目のドメイン(guncel-tv-player-lnat.com)は、新しい機能のテストのためのステージング環境として機能しているようで、さまざまな国で9台のボットしか登録されていません。

影響と推奨事項

Klopatraは、デスクトップグレードの保護をAndroidにもたらし、モバイルマルウェアの転換点を示しています。金融機関や不正対策チームは、シグネチャベースの検出を超えたソリューションを採用し、デバイスレベルでの行動監視と取引異常のリアルタイム相関に焦点を当てる必要があります。継続的な脅威インテリジェンスの共有と、Virboxで保護されたAndroidサンプルのプロアクティブなハンティングは、この新たな脅威を軽減するために不可欠です。犯罪グループが商用難読化ツールやネイティブコードフレームワークを採用するにつれて、セキュリティコミュニティは、これらの高度なモバイルRATに先んじるために、分析技術の改善、サンドボックスの強化、および業界横断的な協力で対応する必要があります。

元記事: https://gbhackers.com/new-android-banking-trojan-uses-hidden-vnc-for-full-remote-control-of-devices/

投稿をさらに読み込む