Kaspersky Labは12月19日、同社のリサーチャーが、ユーザーのデータを暗号化する機能を備えたモバイルバンキング型トロイの木馬「Faketoken」の亜種を発見したと発表した。この亜種によって、2249の金融系Androidアプリが標的にされ、ロシアやウクライナ、ドイツ、タイなど27カ国で1万6000人以上が攻撃を受けたという。同社日本法人が12月26日、抄訳で伝えた。
Faketokenは国際的な規模のデータ窃取を目的に設計されており、窃取に必要な権限がすべて揃うと、さまざまな地域の言語環境に適合するため77言語が含まれるデータベースをC&Cサーバーからダウンロードし、これらを利用してフィッシングメッセージを送ってユーザーのGmailアカウントのパスワードを窃取する。
さらに、Google Playにオーバーレイを用いてフィッシングサイトを表示し、クレジットカード情報を窃取。攻撃対象アプリの長いリストや関連アプリのフィッシングページを作るためのHTMLページテンプレートをC&Cからダウンロードすることもできるという。
感染の手口としては、Adobe Flash Playerなどのプログラムやゲームを偽装してユーザーにダウンロードさせた上で、管理者権限やほかのアプリをオーバーレイ表示する権限やデフォルトのSMSアプリとなる権限などを執拗に要求する画面を表示し、権限を奪取しようとしする。
ユーザーはこの要求に応じる以外に選択肢はほぼなく、犯罪者はこうして得た権限によってデータを窃取する。データの窃取の方法には、連絡先やファイルなどを直接窃取するものと、フィッシングサイトを介した間接的なものとがある。
今回発見された亜種は、多くのモバイルランサムウェアが端末自体をロックして利用できないようにするのとは異なり、文書ファイルや写真・動画ファイルなどのデータをAESアルゴリズムによって暗号化するというもの。ただし、このアルゴリズムで暗号化されたデータは、身代金を支払うことなくユーザーの手で復号できるケースもあるとのことだ。
Kaspersky Labのシニアマルウェアアナリスト、Roman Unuchek氏は、以下のように解説している。
「Faketokenの最新の亜種は、攻撃者にとって新機能のメリットが限定的である点が興味深いです。とはいえ、決して軽視すべきではありません。今回の亜種は将来的な開発に向けた下準備の可能性もありますし、絶えず進化を続け、成功を収めるマルウェアファミリーでどのような技術革新が継続しているのかが明らかになることも考えられます。弊社はこの脅威を公表するに当たり、脅威を無効化するとともに、ユーザーとそのデバイス、データの保護を支援します」
同社ではAndroidユーザーに対し、トロイの木馬Faketokenやほかのマルウェアの脅威を退けるために、以下の対策を推奨している。
・すべてのデータを確実にバックアップする。
・アプリから権限や許可を求められた場合、むやみに付与せず、何を求められているのか、なぜ求められているのかを考える。
・堅牢なセキュリティ製品をすべてのデバイスにインストールし、OSソフトウェアを常に最新の状態にしておく。
なおKaspersky Labでは、データの暗号化が可能なFaketokenのインストールパッケージを数千以上検知しており、カスペルスキー製品ではFaketokenマルウェアファミリーのすべての亜種を検知・ブロックするとしている。