Android向けのオンライン銀行詐欺ツール、「PayPal」のアプリを装ってドイツのユーザを狙う

モバイルバンキングの利用者はますます増えており、こうした利用者を狙ったオンライン銀行詐欺ツールが確認されても驚きはありません。トレンドマイクロは、オンライン決済サービス「PayPal」の正規アプリの更新通知を装ったスパムメールを確認しました。このスパムメールは、リンクをクリックしてアプリを更新するようユーザを促します。なお、利用された言語から、このスパムメール送信活動はドイツのユーザを狙ったものと思われます。

図1:「PayPal」のアプリを更新するためのリンクが記載されたスパムメールの例
図1:「PayPal」のアプリを更新するためのリンクが記載されたスパムメールの例

スパムメール送信活動の他の事例と同様、ドイツのユーザを狙った今回のスパムメールも、さまざまな国に置かれた複数の IPアドレスから送信されていました。これらの送信者の 41% はベトナムで、残りはウクライナ、ロシア、ブラジル、インドが占めます。このスパムメールのいくつかの種類では、1万4千回以上送信されました。

スパムメールに記載されたリンクは、さまざまな銀行や金融機関を狙った Android向けのオンライン銀行詐欺ツールに誘導します。なお、この不正なアプリは、Google の公式アプリストア「Google Play」では確認されていません。弊社の製品で「AndroidOS_Marchcaban.HBT」として検出されるこの不正なアプリは、PayPal の他、ヨーロッパの大手銀行のアプリも対象にしています。こうした銀行名は、不正なアプリがダウンロードする環境設定ファイルで確認されました。

ユーザは、リンクをクリックし、アプリをダウンロードしてインストールすると、ユーザは最初にこのアプリを「デバイス管理者」に設定するよう求められます。このアプリはデバイス管理者に設定されると、システム管理者として機能することが可能になります。弊社は、同様の手法を他のAndroid向け不正アプリでも確認しています。この手法は、アプリを隠ぺいし、削除を困難にするために利用されます。

この不正なアプリはまた、画面ロックのパスワードの変更や、パスワードのルール設定、画面のロック、保存されたアプリの情報の暗号化といった他のパーミッションも要求します。こうした要求すべては、このアプリが正規のものではなく、不正なアプリであることを示す警告のしるしです。

図2:ホーム画面にインストールされた不正なアプリ
図2:ホーム画面にインストールされた不正なアプリ

図3:デバイス管理者権限を求める不正なアプリ
図3:デバイス管理者権限を求める不正なアプリ

ユーザがデバイス管理者権限を与えなかった場合でも、この不正なアプリはホーム画面から消え、バックグラウンドで実行し続けます。ランチャー画面からも削除されるため、この不正なアプリを操作したり、削除することはほとんど不可能になります。

図4:ランチャー画面からアプリを削除するためのコード
図4:ランチャー画面からアプリを削除するためのコード

また、この不正なアプリは、バックグラウンドでモバイル端末の活動を監視します。つまり、どのアプリが実行中であるかを検知することが可能です。これにより、不正なアプリは「ユーザインターフェース(User Interface、UI)」を乗っ取ることができます。

図5:アプリの活動を監視するための不正なアプリのコード
図5:アプリの活動を監視するための不正なアプリのコード

PayPal の正規アプリが実行していることを検知した場合、この不正なアプリは、正規アプリ上に偽の UI を表示させます。そして、効率良くセッションを乗っ取り、PayPalユーザの個人情報を窃取します。

図6:UI の乗っ取りを実行する不正なアプリのコード
図6:UI の乗っ取りを実行する不正なアプリのコード

不正なアプリはまた、ショート・メッセージ・サービス(SMS)のメッセージを傍受し、条件検索します。これは、このアプリの存在を知らせるメッセージをモバイル端末のユーザが受信するのを防ぐためです。

図7:SMS のメッセージを傍受し、条件検索する不正なコード
図7:SMS のメッセージを傍受し、条件検索する不正なコード

また、この不正なアプリは、SMS のメッセージで受信したコマンドに基いて通話します。

図8:受信したコマンドに基づいて通話をするための不正なコード
図8:受信したコマンドに基づいて通話をするための不正なコード

このコードは、PayPal の他、ドイツの大手銀行「Commerzbank」のアプリなども対象にしています。

図9:「Commerzbank」のアプリを狙ったコード
図9:「Commerzbank」のアプリを狙ったコード

弊社では、この不正プログラムのファミリに属する 200以上の不正なアプリを確認しています。不正なアプリはそれぞれラベルが異なっており、銀行に関係しないものは、Adobe Flash Player のアプリやゲームアプリ、成人向けアプリなどを装います。

今回の不正なアプリに感染しないために、以下のセキュリティ対策を実践してください。

  • 身元が不明もしくは証明されていない送信者からのメールは開封しないで下さい。また、リンクもクリックしないで下さい。
  • アプリは、公式のアプリストアや正規サイトからダウンロードして下さい。Android では、Google Play 以外のアプリストアからのアプリをダウンロードをしないよう設定されています。必要な時以外は設定を変更しないで下さい。
  • アプリが要求するパーミッションは、許可する前によく確認して下さい。必要以上のパーミッションの要求や、不審に感じた場合は拒否して下さい。
  • 今回のような不正なアプリからモバイル端末を保護するために、セキュリティ対策製品をインストールして下さい。

協力執筆者:Joachim Capiral

参考記事:

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

Related posts:

  1. スマホを使用不能の「文鎮化」させるAndroidのバグを確認
  2. Android端末を狙うランサムウェア、匿名通信システム「The Onion Router(Tor)」を利用
  3. Androidをルート化する不正アプリ2種をGoogle Playで確認
  4. 2016年の脅威予測-「ネット恐喝」に多くの個人・企業ユーザが直面