ThreatFabricは4月25日(現地時間)、「Brokewell: do not go broke from new banking malware!」において、Androidを標的とする新しいバンキング型トロイの木馬「Brokewell」を発見したとして、注意を呼び掛けた。このマルウェアはWebサイト上の偽のGoogle Chromeアップデート広告を通じて配布されるという。

  • Brokewell: do not go broke from new banking malware!

    Brokewell: do not go broke from new banking malware!

偽のGoogle Chromeアップデート広告

ThreatFabricの研究者はWebサイトから偽のGoogle Chromeアップデート広告を発見し、そこから今回のバンキング型トロイの木馬「Brokewell」を発見したという。入手したマルウェアを調査した結果、過去にオンライン金融サービス「Klarna」やオーストリアのデジタル認証アプリケーション「ID Austria」に偽装していたことも発見したとしている。

  • 正規のChromeアップデート広告(左)と偽のChromeアップデート広告(右)の例 - 引用:ThreatFabric

    正規のChromeアップデート広告(左)と偽のChromeアップデート広告(右)の例  引用:ThreatFabric

バンキング型トロイの木馬「Brokewell」

偽のChromeアップデートとして配布されるバンキング型トロイの木馬「Brokewell」は、データ窃取機能と遠隔操作機能を持つとされる。資格情報は標的のアプリケーションに偽の画面を被せるオーバーレイ攻撃を使用して窃取する。また、WebサイトのセッションCookieを窃取する機能も持っており、独自のWebView画面上に正規のWebサイトをロードして認証させ、ログインを完了すると作成されたセッションCookieをコマンド&コントロール(C2: Command and Control)サーバに送信する。

Brokewellは他にも次のような機能を持つとされる。

  • すべてのユーザー操作(タッチ、スワイプ、表示情報、テキスト入力など)をキャプチャーする。この機能はすべてのアプリケーションにとって脅威となる
  • 画面ストリーミング
  • さまざまなリモート操作
  • スクリーンショットの取得
  • SIMカード情報の取得
  • 通話履歴、デバイス位置の取得
  • デバイス情報の取得
  • パッケージ一覧の取得
  • アプリケーションのインストールおよびアンインストール
  • 電話をかける
  • 音声録音
  • SMSメッセージの送信
  • シェルコマンドの実行

このマルウェアの開発者は「Baron Samedit Marais」と称する脅威アクターとみられ、彼らが管理するC2サーバーの一つからは「Brokewell Cyber Labs」と呼ばれるリポジトリが発見されている。このリポジトリにはマルウェアローダー「Brokewell Android Loader」のソースコードなどが含まれていることが確認されている。

  • 脅威アクターのランディングページ - 引用:ThreatFabric

    脅威アクターのランディングページ 引用:ThreatFabric

ThreatFabricによると、このマルウェアはほぼ毎日更新されており、今後も進化を続けると予想されている。また、本件調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。