F5 Labsは6月15日(米国時間)、「F5 Labs Investigates MaliBot|F5 Labs」において、「MaliBot」と呼ばれる新種のAndroidマルウェアを発見したと伝えた。このマルウェアはスペインとイタリアにある銀行のモバイルバンキングユーザーを標的対象としているという。

  • F5 Labs Investigates MaliBot|F5 Labs

    F5 Labs Investigates MaliBot|F5 Labs

F5 Labsがモバイルバンキングを狙ったトロイの木馬である「FluBot」の調査を行った際、この新たなAndroidマルウェアが確認された。MaliBotは不正なWebサイトが配布元となっているが、感染したAndroidスマートフォンの連絡先を使って配布元Webサイトのリンクを含むSMSフィッシングメールを送信するという感染経路もあるという。

MaliBotには主に次のような攻撃的な機能が実装されている。

  • 「Mining X」または「The CryptoApp」という名の暗号通貨マイニングアプリを装う
  • 「MySocialSecurity」や「Chrome」アプリの振りをする
  • 金融情報、認証情報、暗号ウォレット、個人データを窃取する
  • 多要素認証(2FA/MFAコード)の窃取および回避
  • VNCサーバを使って感染したデバイスのリモート操作

F5 LabsはMaliBotのC2サーバはロシアにあり、トロイの木馬型マルウェア「Sality」の配布に利用されたものと同じサーバが使われていると報告している。2020年6月以降、多くのサイバー犯罪がこのサーバから攻撃を行っていることもF5 Labsの調査によって明らかになっている。

今回はスペインおよびイタリアにある銀行の顧客を標的としているが、今後より広範囲なAndroidモバイルバンキングユーザーをターゲットにした亜種のマルウェアの登場が予想される。F5 Labsはさらにサイバー犯罪者が感染したAndroid端末をリモート操作し、金融情報や認証情報を盗むだけではなく、より幅広いサイバー攻撃に悪用する可能性があると警告している。