The Hacker Newsは10月12日(米国時間)、「Hackers Using Vishing to Trick Victims into Installing Android Banking Malware」において、サイバー犯罪者がビッシングによってユーザーをだまし、Androidバンキングマルウェアをインストールさせていると伝えた。イタリアのオンラインバンキングユーザーを標的とした、銀行の認証情報を窃取するフィッシングキャンペーンが展開されていることが明らかとなった。
発見されたこのキャンペーンでは、イタリアの金融機関になりすました複数のフィッシングWebサイトが関与していることが確認されている。これらのフィッシングサイトはユーザーの連絡先情報を入手することを目的としており、不正なWebサイトを通じて収集した情報を使って被害者に電話をかけるというTOAD (Telephone-Oriented Attack Delivery)と呼ばれるソーシャルエンジニアリングとされている。
連絡先を不正に入手した攻撃者は銀行のサポート担当者を装い、被害者にセキュリティアプリをインストールして幅広い権限を与えるよう指示をしてくるという。しかしながら、実際にはそのアプリはリモートアクセスや金融詐欺を目的とした「Copybara」と呼ばれるトロイの木馬型マルウェアであることが確認されている。
Copybaraは2021年11月に初めて検出されたマルウェアであり、主にイタリアのユーザーを標的とした詐欺行為に悪用されている。オペレーティングシステムのアクセシビリティサービスAPIを悪用して機密情報を収集し、デジタルフォレンジックの足跡を消すためにダウンローダアプリをアンインストールする機能などが提供されている。
The Hacker NewsはTOADがモバイル脅威のトレンドになりつつあるとし、ソーシャルエンジニアリングの技術を駆使した個人的なアプローチによって被害者がだまされ、高い確率でマルウェアがインストールされてしまうと指摘している。また、ほとんどのケースでアンチウイルスエンジンに検出されない、正規のリモートアクセスツールが使われているとのことだ。