概要:新たな脅威「Sturnus」の登場
セキュリティ研究者が、新たなAndroidバンキングトロイの木馬「Sturnus」の出現を報告しました。このマルウェアは、Signal、WhatsApp、Telegramといったエンドツーエンド暗号化されたメッセージングプラットフォームからの通信を傍受できるだけでなく、デバイスを完全に制御する能力も持っています。まだ開発段階にあるものの、その機能は既に完全であり、ヨーロッパの複数の金融機関の口座を標的とするよう設定されています。Sturnusは、既存のAndroidマルウェアファミリーと比較しても高度な脅威であり、プレーンテキスト、RSA、AES暗号化を組み合わせたコマンド&コントロール(C2)サーバーとの通信を行います。
高度な機能とデバイスの完全掌握
オンライン詐欺防止および脅威インテリジェンスソリューションを提供するThreatFabricの報告によると、Sturnusはメッセージアプリの復号化段階後に、デバイスの画面からコンテンツをキャプチャすることで、セキュアなメッセージを窃取することができます。また、HTMLオーバーレイを使用して銀行口座の認証情報を盗み出す機能や、VNCセッションを介したリアルタイムでの完全な遠隔制御をサポートしています。このマルウェアは、Google ChromeやPreemix Boxアプリケーションに偽装している可能性が高いとされていますが、どのように配布されているかはまだ判明していません。
インストール後、SturnusはC2インフラストラクチャに接続し、暗号化交換を通じて感染者を登録します。コマンドとデータ窃取のために暗号化されたHTTPSチャネルを確立し、リアルタイムVNC操作とライブ監視のためにAES暗号化されたWebSocketチャネルを使用します。Accessibilityサービスを悪用することで、Sturnusは画面上のテキストを読み取ったり、被害者の入力をキャプチャしたり、UI構造を観察したり、アプリの起動を検出したり、ボタンを押したり、スクロールしたり、テキストを挿入したり、電話をナビゲートしたりすることができます。さらに、デバイスの完全な制御を得るためにAndroid Device Administrator権限を取得し、パスワードの変更やロック解除の試みを追跡し、デバイスを遠隔でロックすることも可能です。マルウェアは、ユーザーがその権限を削除したり、デバイスからアンインストールしたりするのを妨げようとします。「管理者権限が手動で取り消されない限り、通常のアンインストールもADBなどのツールを介した削除もブロックされ、マルウェアはクリーンアップの試みに対する強力な保護を得る」とThreatFabricは述べています。
メッセージアプリの標的化
ユーザーがWhatsApp、Telegram、またはSignalを開くと、Sturnusはその権限を利用して、メッセージの内容、入力されたテキスト、連絡先の名前、会話の内容を検出します。研究者らは、「ネットワーク傍受ではなくAccessibilityサービスのログ記録に依存するため、マルウェアは画面に表示されるすべてのもの(連絡先、完全な会話スレッド、送受信メッセージの内容を含む)をリアルタイムで読み取ることができる」と述べています。「これにより、この機能は特に危険になります。合法的なアプリによってメッセージが復号化された後にアクセスすることで、エンドツーエンド暗号化を完全に回避し、攻撃者にプライベートな会話を直接閲覧させることを可能にします。」
VNCモードによる隠蔽された操作
SturnusのVNCモードにより、攻撃者はボタンをクリックしたり、テキストを入力したり、スクロールしたり、電話のOSやアプリをナビゲートしたりすることができ、これらすべてがAccessibilityサービスによって実現されます。攻撃者は、準備が整うと黒いオーバーレイを有効にし、被害者から隠された状態で操作を実行します。これには、バンキングアプリからの送金、ダイアログの確認、多要素認証画面の承認、設定の変更、新しいアプリのインストールなどが含まれる場合があります。ThreatFabricの報告では、悪意のある操作を隠すために表示される偽のAndroidシステムアップデート画面の例も示されています。
現状とユーザーへの対策
ThreatFabricの研究者たちは、Sturnusはまだ初期の開発段階にあり、本格的なキャンペーンではなく、テスト目的で散発的に展開されている可能性が高いとコメントしています。しかし、このマルウェアは、トップティアのAndroidマルウェアによく見られる高度な機能の組み合わせと、「規模を拡大する準備が整った」アーキテクチャを備えており、危険な脅威として警戒が必要です。ThreatFabricは、Sturnusの攻撃が低頻度で、主に南欧と中央ヨーロッパのユーザーを標的としていることを検出しており、これは脅威アクターが大規模なキャンペーンのテストを実行していることを示唆している可能性があります。
Androidユーザーは、以下の対策を講じるようアドバイスされています:
- Google Play以外からのAPKファイルのダウンロードを避ける。
- Play Protectを常にアクティブにしておく。
- 真に必要でない限り、Accessibility権限を付与しない。