ゴッドファーザー Android マルウェアが銀行ウェブサイトと暗号交換のデータを盗む

Threat Fabric の IB アナリストのグループが、400 以上の銀行ウェブサイトと暗号通貨交換の資格情報を盗もうとしているゴッドファーザーという名前の Android マルウェアを発見しました。

研究者たちは、ゴッドファーザーがアヌビスの代替品である可能性があると考えています。アヌビスは広く使用されていた銀行トロイの木馬 Android マルウェアでしたが、最終的には新しい Android 防御を回避できなかったため使用されませんでした。

Android マルウェア、すなわちゴッドファーザーは、被害者がウェブサイトにログインしようとすると、銀行および暗号通貨交換アプリのログインページの上にログイン表示を作成し、ターゲットを欺いて巧妙に作られた HTML フィッシングページに正しい資格情報を入力させます。

この Android マルウェアは、2021 年 3 月に Threat Fabric によって初めて発見され、それ以来、コードにいくつかの重要な改善とアップグレードが見られています。

また、Cyble の報告によると、Android マルウェアの活動が増加しており、トルコの有名な音楽ツールを偽装したアプリを推進しており、Google Play ストアで 1000 万回ダウンロードされています。

研究者たちは、Google Play ストアのアプリにおけるゴッドファーザー マルウェアの小規模な配布を見つけることができました。しかし、研究者たちはまだ主要な配布方法を見つけておらず、初期感染方法は主に不明です。

Android マルウェアのターゲットアプリは、主にアメリカ、トルコ、カナダ、フランス、ドイツ、スペイン、イギリスの銀行アプリです。また、暗号通貨交換プラットフォームや暗号通貨ウォレットアプリもターゲットにしています。

さらに、このトロイの木馬はシステム言語をチェックし、ロシア語、アルメニア語、カザフ語、キルギス語、モルドバ語、ウズベク語などであれば、機能を停止します。これは、ゴッドファーザー トロイの木馬の背後にいる人々がロシア語を話し、恐らく独立国家共同体地域の住民であることを示しています。

トロイの木馬がデバイスにインストールされると、すべての Android デバイスで利用可能な標準セキュリティチェックである Google Play Protect を模倣します。マルウェアはさらに一歩進んで、ハンドセット上でスキャンプロセスをエミュレートします。

スキャンの目的は、認証ツールのように見えるアクセシビリティサービスを要求することであり、ターゲットがリクエストを承認すると、マルウェアはすべての悪意のある活動を実行するためのすべての権限を自分に与えることができます。

悪意のある活動には、通知やメッセージ、連絡先へのアクセス、電話の発信、外部ストレージへの書き込み、ハンドセットの状態の読み取りが含まれます。

読む: 脅威アクターが通信サービスプロバイダーを標的にし、検出時に防御方法を変更

現在、アクセシビリティサービスは、被害者がマルウェアを削除するのを防ぎ、Google Authenticator コード (OTP) をフィルタリングし、パスワードや PIN を盗み、コマンドを処理するために悪用されています。

Android マルウェアは、C2 サーバーから一致するアプリのリストを外部に持ち出し（資格情報を盗むための偽の HTML ログイン）、正規のアプリケーションのログインページを模倣するウェブフェイクを作成します。偽の HTML ページに入力されたすべてのデータ（ユーザー名やパスワードなど）は、C&C サーバーに外部に持ち出されると、Threat Fabric の研究者は述べています。

これに加えて、マルウェアは被害者のハンドセット上の感染したアプリから偽の通知を送信できるため、感染したアプリが開かれるのを待つ必要はなく、ゴッドファーザーのリストにないアプリについては、Android マルウェアは画面録画機能を使用して、被害者がフィールドに入力する資格情報を記録します。

さらに、ゴッドファーザーは C2 サーバーから次のコマンドを受け入れ、デバイス上の管理者権限を通じて実行します。

startUSSD - USSD リクエストを実行します。  
sentMessage - 被害者デバイスからメッセージを送信します（後のマルウェアバージョンでは処理されません）。  
startApp - C2 サーバーによって定義されたアプリを起動します。  
cachecleaner - C2 によって決定されたアプリのキャッシュをクリアします。  
BookMessages - すべての連絡先にメッセージを送信します（拡散のための可能性があり、最新バージョンでは使用されていません）。  
startforward/ stopforward - C2 によって決定された番号へのコールフォワーディングを有効または無効にします。  
openbrowser - 任意のウェブページを開きます。  
startstocks5/ stopstocks5 - STOCKS5 プロキシを有効または無効にします。  
Killbot- 自己削除します。  
startPush.- クリックすると偽のページが開くウェブページを表示します。

Android マルウェアは、キーロギング、画面録画、サイレントモードのオン、VNC サーバーの起動、ディスプレイのロック、通知の外部持ち出しおよびブロックなどのアクションを実行するためのコンポーネントも備えています。

前述のように、ゴッドファーザー マルウェアは、2019 年にソースコードが流出したアヌビス トロイの木馬を作成した同じ攻撃者によって作成された可能性があるか、またはこのマルウェアは攻撃者にとってまったく新しい脅威である可能性があります。

両方のマルウェアは、C2 アドレスの受信方法、C2 コマンドの実行、偽のウェブメソッド、プロキシモードなどの類似の方法を採用しています。

それを言うと、トロイの木馬はアヌビスのファイル暗号化、GPS 追跡などを除外しますが、VNC サーバー方式、画面録画方式、Google Authenticator を盗むためのプロセスを追加しています。

読む: マディ ウォーター、ハッカー グループがフィッシング メッセージを送信するために侵害された企業メールを使用