IBMは3月13日(米国時間)、「PixPirate: The Brazilian financial malware you can't see, part one」において、Androidユーザーを標的とするバンキング型トロイの木馬「PixPirate」の新しい亜種を発見したとして、注意を喚起した。発見された亜種はこれまでと異なる検出回避戦術を採用しており、ユーザーに気付かれることなくバックグラウンドで動作可能としている。
バンキング型トロイの木馬「PixPirate」とは
IBMの分析によると、PixPirateはマルウェアローダーとマルウェア本体とで構成されている。通常のマルウェアローダーはマルウェアを展開、実行すると役目を終えるが、PixPirateのマルウェアローダーはマルウェアの実行後もマルウェアと通信して悪意のある活動を支援する。
初期の感染経路はWhatsAppまたはショートメッセージサービス(SMS: Short Message Service)を悪用する。これらのメッセージから正規の金融アプリに偽装したマルウェアローダーへのリンクを送信し、標的にダウンロード、実行させる。
マルウェアローダーは自身のアップデートをユーザーに要求し、承認されると自身に含まれるマルウェア本体をインストールするか、またはコマンド&コントロール(C2: Command and Control)サーバからマルウェアをダウンロードしてインストールする。
マルウェアは起動するとユーザーにアクセシビリティサービスの許可を求め、許可が得られると悪用に必要な権限を自動的にすべて取得する。その後、デバイスからさまざまな情報を収集し、その情報からデバイスの所有者が詐欺の対象となるか確認する。また、収集した情報をC&Cサーバに送信する。
この新しいPixPirateには、トロイの木馬としての基本的な機能の他に次のような機能があるとされる。
- 他のアプリケーションの操作と制御
- キーロガー
- インストール済みアプリ一覧の取得
- アプリのインストールと削除
- デバイスのロックおよびロックの解除
- 登録された電話へのアクセス
- 連絡先リストへのアクセスと通話
- デバイスの位置の特定
- 仮想マシン対策およびデバッグ対策(検出回避)
- 永続性の確保
- WhatsAppを介した拡散
- SMSメッセージの窃取、編集、削除
- 駆除の防止とGoogle Playプロテクトの無効化
金融詐欺と隠蔽戦術
PixPirateは侵害したデバイス上で被害者の活動を監視し、オンラインバンキングの認証情報、クレジットカード情報、その他すべてのアカウント情報を窃取する。また、二要素認証(2FA: Two-Factor Authentication)を回避するためにデバイス上でSMSを操作し、必要な情報の窃取および削除を実行することができる。
新しいPixPirateは他のマルウェアと異なる隠蔽戦術を使用する。通常のマルウェアは「SetComponentEnabledSetting」APIなどを使用してランチャーアイコンを隠すが、PixPirateはアプリとして必要な起動アクティビティーを持たないサービスプログラムとして構成することでランチャーアイコンの表示を回避する。しかしながら、このままではマルウェアを起動することができないため、PixPirateはサービスをエクスポートし、マルウェアローダーからサービスにバインドすることで実行を可能にしている。
このサービスは別のレシーバーにも登録され、システム内のさまざまなイベントをトリガーとして起動するように設定される。この手法により金融アプリに偽装したマルウェアローダーが削除された場合でも、PixPirateの永続性を保てる。
PixPirateは主にブラジルのAndroidユーザーを標的にしている。これはブラジルの標準的なインスタント決済サービス「Pix」を標的にしているためで、侵害したデバイスのPixアカウントから不正に資金を送金する。PixPirateは一連の攻撃を自動または手動で実行することが可能とされる。
PixPirateの持つ高度な隠蔽戦術と二要素認証を回避できる自動化された詐欺機能は深刻な被害をもたらす可能性がある。そのため、Androidユーザーは予期しないメッセージに注意し、メッセージのリンクからアプリをダウンロードしないことが推奨されている。また、このマルウェアはWhatsAppやSMSメッセージを介した拡散が可能なため、知人からのメッセージだったとしてもリンクからアプリをダウンロードしないことが重要な対策となる。