2018年3月5日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、様々な金融機関のオンラインバンキングサービスにアクセスするためのバンキングアプリケーションを装って拡散されているトロイの木馬をGoogle Play上で発見しました。この悪意のあるアプリケーションはロシアのユーザーからログイン認証情報やその他の機密情報を盗むよう設計されています。

Android.BankBot.344.origin と名付けられたこのトロイの木馬は「VSEBANKI – Vse banki v odnom meste（ALLBANKS – すべての銀行を一か所に）」と呼ばれるアプリケーションに隠されていました。サイバー犯罪者は2月25日にアプリケーションをGoogle Play上にアップロードし、500人近いモバイルユーザーが実際にアプリをダウロードしています。さらに、犯罪者は「ラッキーな」ユーザーに代わってわざわざ偽のレビューまで投稿しています。Doctor Webのスペシャリストはこのトロイの木馬についてGoogle社に報告を行い、その後直ちにトロイの木馬はGoogle Playから削除されました。

バンキングアプリケーションを装ってGoogle Playから拡散されたトロイの木馬のデザイン

Android.BankBot.344.origin は、同じくGoogle Playから拡散され、2月に発見された悪意のあるプログラム Android.BankBot.336.origin の亜種です。以前のバージョンと同様、様々な金融機関のオンラインサービスへのアクセスを提供するアプリケーションを装って拡散されていますが、ウクライナのユーザーを標的としていた以前のバージョンと異なり、 Android.BankBot.344.origin はロシアの銀行の利用者を攻撃するよう設計されています。実際には、アプリケーションには提供されるはずの機能は備わっていません。

アプリケーションを使用してユーザーがオンラインアカウントにアクセスすることができるとされるロシアの銀行のリスト

Android.BankBot.344.origin はユーザーに対し、ログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するよう促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。その結果、犯罪者はユーザーから金銭を盗むことが可能になります。以前のバージョンと同様、 Android.BankBot.344.origin は受信するSMSメッセージを横取りすることができます。

フィッシング入力フォームの例。金融機関のオンラインバンキングにアクセスするためにログイン認証情報を求められる。

フィッシング入力フォームの例。ユーザーはログインし、クレジットカード情報を入力するよう促される。

Doctor Webでは、オンラインバンキングシステムを使用する際は金融機関の公式アプリケーションのみをインストールするよう推奨しています。Dr.Web for Androidは Android.BankBot.344.origin の既知の亜種をすべて検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Android.BankBot.344.originの詳細