長期にわたって活動を継続しているマルウェアは、時間と共にその活動内容を変化させていく傾向にあります。2013年前後に登場したAndroid向けバンキングトロジャン「FakeToken(フェイクトークン)」もその1つです。2017年に確認されたFakeTokenは、タクシー配車アプリを偽装し、感染端末から個人を特定できる情報(PII)を窃取する機能に加え、ランサムウェア機能まで持っていました。そして2020年に入り、カスペルスキーのリサーチャは、約5,000台のスマートフォンがSMSで海外へ迷惑メッセージを送信していたことを検知しました。そしてそれは、FakeTokenの新しい機能によるものであることが確認されました。
今回の新たに確認された「最新」のFakeTokenは、ユーザの銀行口座にアクセスして情報を収集すると共に、利用者に無断で国際SMSを送信します。もちろん、SMSの送信料金は感染端末の利用者の負担であり、不要な金銭的損失に繋がります。トレンドマイクロでは、この新たなFakeTokenの活動を継続して追跡および監視中です。アプリをダウンロードする際には十分注意してください。
FakeTokenがセキュリティ保護されていないAndroidデバイスに感染すると、まずデフォルトのSMSアプリとその機能を確認します。FakeToken は2FA(二要素認証)コードやトークンなどのSMSの送信、傍受が可能で、スキャンしたユーザの連絡先へフィッシングメッセージを送信したり、収集した情報を遠隔操作用のサーバ(C&Cサーバ)に送信したりできます。また、ユーザの銀行口座をチェックして十分な預金があるかをまず確認し、SMSを送信する前にその口座からスマートフォンのアカウントへチャージ(入金)していました。
大量のメッセージが海外の電話番号に一斉送信されるため、感染したスマートフォンの利用者はこの不正なメッセージ送信によって金銭的損失を被ることになります。加えて、スパムメール対策アプリによってスマートフォンの電話番号がブラックリストに登録される、あるいは、携帯電話事業者にスパムメールの発信元とみなされ利用停止へと追い込まれる可能性もあります。バンキングトロジャンのこのような活動変化は珍しいため、この攻撃キャンペーンの監視が継続されています。この攻撃自体が、まだテストあるいは開発の段階にある可能性もあります。もしくは、今回確認された変化が、今後のバンキングトロジャンの攻撃キャンペーン自体の変化を示しているかもしれません。
■被害に遭わないためには
利用者は、ベストプラクティスに従って以下のような脅威からモバイルデバイスを保護することができます。
- 公式のアプリストアから、正規の開発者によるアプリのみダウンロードする
- 安全でないネットワークやパブリックネットワークへの接続を避ける
- スマートフォンのオペレーティングシステム(OS)とインストール済みアプリの更新を定期的にダウンロードする
■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けにはGoogle Playで利用可能な「ウイルスバスター モバイル」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」技術や「Web レピュテーション(WRS)」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正 Web サイトのブロックに対応しています。
参考記事:
- 「Mobile Banking Trojan FakeToken Resurfaces, Sends Offensive Messages Overseas from Victims’ Accounts」
by Trend Micro
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)