Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Androidユーザーを脅かす危険なバンキングトロイの木馬

2015年6月11日

株式会社Doctor Web Pacific


Doctor Webのセキュリティリサーチャーにより、Androidデバイスユーザーのバンクアカウントから金銭を盗むよう設計された新たなトロイの木馬が発見されました。 Android.BankBot.65.origin と名付けられたこのトロイの木馬はオンラインバンキングアプリケーションに組み込まれ、正規のソフトウェアを装って拡散されていました。

トロイの木馬を正規アプリケーション内に組み込み、それらを様々なソフトウェア配信サイトやファイル共有サイトから拡散するという手法はセキュリティリサーチャーにとって良く知られているものです。その見た目や動作は正規のものと変わらないことから、多くの場合ユーザーはこれらアプリケーションをデバイス上にインストールしてしまうことになります。しかし、ユーザーが手に入れたものは正規のプログラムではなく、感染させたデバイス上で悪意のある動作を実行するトロイの木馬なのです。

上記の手法を用いて拡散されるバンキングトロイの木馬のうち最も新しくDoctor Webセキュリティリサーチャーによって発見された Android.BankBot.65.origin はロシアのモバイルアプリケーションSberbank Onlineに組み込まれていました。サイバー犯罪者は悪意のある機能を組み込むことで改変したプログラムを、モバイルデバイス向けのポピュラーなサイトから拡散していました。このプログラムは正規バージョンと全く同じ機能を備えているため、ユーザーはマルウェアをダウンロードしてしまったことに気がつかず、それにより個人情報を危険にさらしてしまいます。トロイの木馬を含んだこのアプリケーションは、これまでに70台のAndroidデバイス上にダウンロードされています。

screen

改変されたアプリケーションがインストールされ、起動されると、 Android.BankBot.65.origin はトロイの木馬の動作パラメータを含んだ特別な設定ファイルを作成します。これらの設定を用いてマルウェアはC&Cサーバーに接続し、POSTリクエストを使用して以下の情報を送信します:

  • IMEI
  • モバイルネットワークオペレータ
  • BluetoothアダプタのMACアドレス
  • QIWI Walletがインストールされているかどうか
  • デバイスのAPIバージョン
  • トロイの木馬のバージョン
  • トロイの木馬のパッケージ名
  • 現在実行されているコマンド

リモートホストから"hokkei"コマンドを受け取ると、 Android.BankBot.65.origin は暗号化したユーザーのコンタクトリストをサーバーに送信し、犯罪者から受け取ったコマンドに従って設定ファイルをアップデートします。

このマルウェアの基本的な動作は、その他のバンキングトロイの木馬のものとほとんど変わりません。 Android.BankBot.65.origin は同じファミリーに属するその他のトロイの木馬と同様、サーバーからのコマンドに従って受信するSMSメッセージを横取りし、犯罪者の指定した番号に対して様々なメッセージを送信します。さらに、 Android.BankBot.65.origin は受信したSMSメッセージにテキストを追加する機能を備え、それによりサイバー犯罪者がユーザーのバンクアカウントから金銭を盗み(被害者のアカウントから犯罪者のアカウントへ送金するSMSコマンドを送信することで、または認証コードを含んだメッセージを横取りすることで)、その他の詐欺行為を行うことを可能にしています。例えば、犯罪者はユーザーに対して、クレジットカードがブロックされているため指定された「銀行」の電話番号まで問い合わせるよう促すメッセージや、「トラブルに遭っている家族」のアカウントに入金するよう促すメッセージなどを表示することができます。

Doctor Webでは、オンラインバンキングアプリケーションは信頼できるサイト(Google Playや金融機関の公式サイトなど)からのみダウンロードし、Dr.Web for AndroidまたはDr.Web for Android Light を使用してお使いのデバイスを保護することを強く推奨しています。Dr.Webウイルスデータベースには Android.BankBot.65.origin のシグネチャが既に追加されているため、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F