Fox-ITは3月28日(英国時間)、「Android Malware Vultur Expands Its Wingspan – Fox-IT International blog」において、Androidデバイスを標的とするバンキング型マルウェア「Vultur」の亜種を発見したと報じた。新しい亜種は従来のマルウェアと比較して通信の暗号化や追加のペイロードなど機能の向上がみられるという。

  • Android Malware Vultur Expands Its Wingspan – Fox-IT International blog

    Android Malware Vultur Expands Its Wingspan – Fox-IT International blog

「Vultur」の新しい亜種の特徴

バンキング型マルウェア「Vultur」は2021年3月にThreatFabricによって初めて発見された。主な機能には画面録画機能、キーロガーなどがあり、Androidの銀行アプリを標的とする。発見当初はデバイスへのリモートアクセスに、正規の「AlphaVNC」および「ngrok」を不正使用していたとされる。

今回発見された新しい亜種はショートメッセージサービス(SMS: Short Message Service)のメッセージと1本の電話を通じて配布される。攻撃者は最初に高額の取引について電話連絡を求めるメッセージを送信する。被害者がメッセージに記載された連絡先に電話すると、攻撃者は通話中に2通目のメッセージを送信する。

このメッセージにはMcAfee Securityアプリに偽装した悪意のあるアプリへのリンクが記載されており、攻撃者は電話の特性(緊迫感を作りやすい、熟考する余裕がない、追加のセキュリティ対策が困難など)を悪用して被害者にアプリをインストールさせる。

  • Vulturの感染経路 – 引用:Fox-IT International

    Vulturの感染経路 引用:Fox-IT International

この悪意のあるアプリには正規のMcAfee Securityアプリが含まれており、攻撃に気づくことは難しいとされる。アプリをインストールするとバックグラウンドにて追加のペイロードが3つダウンロードされ、最終的にデバイスの制御を完全に奪われる。

Fox-ITの分析によると、この新しいVulturの亜種には次の新機能の追加または改良が確認できるという。

  • ファイルのダウンロード、アップロード、作成、削除、検索機能の追加
  • アクセシビリティサービスを悪用してデバイスを制御
  • アプリの実行阻止機能の追加
  • ステータスバーに任意の通知を表示する機能の追加
  • AndroidのKeyguardを無効にし、ロック画面のセキュリティ対策を回避する
  • アプリ名を「McAfee Security」または「Android Accessibility Suite」など、既存のセキュリティソリューション名に変更
  • ペイロードの復号化にネイティブコード(C/C++)を使用
  • 悪意のあるコードを複数のペイロードに分散
  • コマンド&コントロール(C2: Command and Control)サーバーとの通信にAES暗号とBase64エンコードを使用

対策

Fox-ITは調査中、亜種に新機能が次々と追加されていることを確認しており、継続的な開発が続けられ、より脅威が増す可能性があると指摘している。また、Vulturの進化の方向が「デバイスの完全な乗っ取り」にあることは明らかだとして注意を呼びかけている。

このような攻撃を回避するため、Androidユーザーにはソーシャルエンジニアリング攻撃を防ぐためのベストプラクティスを実践することが推奨されている。なお、Fox-ITは本件調査において判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。