Sturnusマルウェアの脅威:暗号化メッセージングアプリを標的に
MTIセキュリティの研究者らは、新たに高度なAndroidバンキングトロイの木馬「Sturnus」を発見しました。このマルウェアは、従来のモバイルマルウェアとは異なり、認証情報窃盗やデバイス全体の乗っ取りに加え、Signal、WhatsApp、Telegramといった暗号化されたメッセージングアプリから会話を直接キャプチャする能力を持っています。Sturnusは、ユーザーの金融データと個人データを、前例のないレベルのデバイス制御とステルス運用で標的にします。
暗号化を迂回する巧妙な監視手口
Sturnusが他のマルウェアと一線を画すのは、暗号化されたメッセージングサービスへの戦略的な攻撃方法です。転送中の暗号化プロトコルを破ろうとするのではなく、アクセシビリティに基づいたスクリーンキャプチャとUIイベント監視を悪用して、正当なアプリによって復号化され表示された後のコンテンツを抽出します。これにより、攻撃者はユーザーのプライベートな会話をリアルタイムで覗き見ることができ、ユーザーが機密保持のために信頼しているエンドツーエンド暗号化の保証を迂回します。
Sturnusはデバイスに感染すると、フォアグラウンドアプリケーションを常に監視します。WhatsApp、Signal、Telegramのようなメッセージングサービスが開かれると、マルウェアは密かに高度なUIツリー収集とキーロギングを起動します。メッセージコンテンツ、連絡先、さらには完全な会話スレッドまでもが、遠隔の攻撃者に盗み出されます。この機能は、プライバシーだけでなく、安全な通信プラットフォームへの信頼をも損ないます。画面に表示される機密情報はすべて、脅威アクターの手に渡ることになります。
広範なデバイス乗っ取り機能
Sturnusの機能は、メッセージ監視にとどまりません。銀行アプリを模倣した説得力のある偽のログインオーバーレイを使用して、ユーザーの認証情報や金融情報を容易に収集します。この情報の持ち出しエンジンは、ターゲットとなるヨーロッパの金融機関に合わせて調整されたフィッシングテンプレートを展開するHTMLオーバーレイシステムによって駆動されます。
Androidのアクセシビリティサービスを活用して、Sturnusは深いキーロギングとUI監視パイプラインを実装しています。テキスト入力、UI変更、ユーザー操作を傍受し、攻撃者がユーザーのアクティビティを再構築し、パスワードやPINを盗み、標準のスクリーンキャプチャ方法がブロックされている場合でも、画面上のすべてを追跡できるようにします。リモート制御は、2つの冗長なスクリーンストリーミングメカニズムによって実現されます。プライマリのディスプレイキャプチャフレームワークと、セカンダリのアクセシビリティベースのスクリーンショット方法です。攻撃者は、ピクセルベースのVNCセッションと非常に効率的なインターフェースマッピングプロトコルを使用してデバイスを操作します。クリック、テキスト入力、スワイプ、アプリ起動、さらには権限付与といったアクションは、画面をブラックアウトして被害者からアクティビティを隠しながら、秘密裏に実行できます。
複雑な通信プロトコルと強固な永続性
「Sturnus」という名前は、マルウェアの予測不可能で多層的な通信パターン(ムクドリのさえずりに似ている)を反映しています。認証情報がキャプチャされると、マルウェアは特定のオーバーレイをオフにして冗長なターゲティングを避け、疑念を最小限に抑えます。マルウェアのトラフィックは、平文と高度な暗号化(RSA、AES)を切り替えながら、HTTPとWebSocket上でカスタムプロトコルを使用し、弾力的なリアルタイムのコマンド&コントロールを実現します。この複雑なやり取りには、動的なキー生成、メッセージごとの初期化ベクトル、データラッピングが含まれ、傍受や分析を困難にしています。
Sturnusは、一連の防御策を通じてその永続性を確保しています。デバイス管理者権限が付与されると、その制御を無効にしたりアンインストールしたりする試みを監視してブロックし、アクセシビリティ監視を悪用して削除を回避することさえあります。マルウェアの12の内部レシーバーと絶え間ないセキュリティチェックは、システムアクティビティ、ネットワーク状態、デバイスの整合性、潜在的なフォレンジックプロービングを監視し、クリーンアップを回避するために必要に応じて適応します。
今後の展望と推奨事項
研究者らは、Sturnusのキャンペーンがこれまでのところ南欧と中央ヨーロッパの金融機関を主な標的として限定的かつ断続的であると指摘していますが、そのコードの深さと洗練度は、より広範で持続的な攻撃の差し迫った可能性を示唆しています。脅威アナリストは、その機能をMITRE ATT&CKマトリックスの広範なセグメントにマッピングし、その多角的なアプローチを強調しています。
Sturnusの、オーバーレイベースの認証情報窃盗、暗号化されたメッセージング監視、包括的なデバイス監視、堅牢なリモート制御機能の組み合わせは、これまでに観測された中で最も高度なモバイルトロイの木馬の一つです。標的地域のユーザーと金融機関は、警戒を強化し、デバイスの衛生状態を維持し、アプリの権限を精査してリスクを最小限に抑える必要があります。