Androidを狙うマルウェア、情報窃取型から金銭詐取型が増加中

CC0 PublicDomain

 ITセキュリティのKaspersky Lab・アンチマルウェアリサーチ チームが、金銭窃取を目的にAndroidユーザーを狙う新種のマルウェア「Asacub」を発見した。  当初、Asacubはスパイウェアの特徴を示していましたが、現在ではロシア、ウクライナ、米国のオンラインバンキングユーザーを標的とするバージョンも確認されているという。  現在、スマートフォンで商品やサービスの決済をしている人々は日に日に増えている。そのような状況にある中、2015年からモバイルデバイス向けの金融系マルウェアが増加し、モバイルバンキング型トロイの木馬が金融系マルウェアのトップ10に初めてランクインしている。  この憂慮すべき傾向を示すもう1つの例が、今回発見したトロイの木馬Asacubだという。

Androidデバイスに侵入し金銭窃取をする

 2015年6月に発見されたAsacubの最初のバージョンは、Androidデバイス内の連絡先リスト、ブラウザーの閲覧履歴やインストールされているアプリの一覧といった情報を窃取するほか、特定の番号へのSMSメッセージ送信、画面のブロックなど、典型的な情報窃取型トロイの木馬の機能のみを備えていた。  しかし、2015年の秋、バンキングアプリの偽ログインページを備えたAsacubの新バージョンが複数発見され、Asacubが金銭窃取を目的とするツールへと変化していることが確認されたという。  新しいバージョンのAsacubには、ロシアとウクライナの銀行の偽ログインページが含まれていたため、当初、標的はロシア語圏のユーザーと考えられていたが、調査を進めたところ、米国の大手銀行の偽ページを含むものも発見されたという。  新しいバージョンのAsacubには、着信の転送、USSD(※ネットワーク上のアプリケーション・プログラムとデバイス間でテキスト・メッセージを送信するために使用される通信テクノロジー)リクエストの送信などの新機能が追加されており、非常に強力な金融詐欺ツールとなっているのだ。  Kaspersky Labでは複数の種類のAsacubを把握していたが、その活動を示す形跡は2015年末までほとんど見られなかったという。しかし、それからわずか1週間のうちに、ユーザーをAsacubに感染させようとする試みが6,500回以上検知され、Asacubはその週最も蔓延したモバイル型トロイの木馬のトップ5に入り、バンキング型トロイの木馬としては第1位にランクインしたのだ。  同ラボのシニアマルウェアアナリスト ロマン・ウヌチェクは次のように語っている。 「解析によって、Asacubの指令サーバーが使用するドメインは、Windowsベースのスパイウェア『CoreBot』で使用されていた数十のドメインと同じ人物が登録していることが判明しました。この点から、これら2種類のマルウェアは同じ犯罪組織で開発、使用されており、この犯罪組織がモバイルバンキングユーザーを狙った犯罪から大きな利益を得ていることは容易に想像がつきました。2016年はモバイルバンキング型マルウェアの進化と普及が進み、マルウェア攻撃のさらに大きな部分を占めるようになると推測しています。ユーザーは被害者とならないように、より慎重に行動する必要があります」 参照:カスペルスキー <文/HBO取材班>