エグゼクティブ サマリー
Cisco Talos は、オーストラリアの金融機関をターゲットにした、新たな Android ベースのキャンペーンを明らかにしました。調査を進めたところ、このキャンペーンが、以前オーストラリアで発見された「ChristinaMorrow」テキスト メッセージ スパム詐欺に関連していることが分かりました。
このマルウェアのクレデンシャル収集メカニズムは、特に先進的ではないものの、高度な自己保存の機能を備えています。従来のリモート アクセス ツール(RAT)を使用していなくても、このキャンペーンは主にプライベート ユーザをターゲットにしているようです。クレデンシャルの窃盗の他に、このマルウェアには、ユーザの連絡先リストの窃盗や、電話番号とそれに紐付く名前、ファイルと写真など、デバイス上の情報を収集する機能もあります。しかし、企業や組織は、それで安心することなく、こうしたトロイの木馬に今後も警戒すべきです。多額の資金を持つ企業のアカウントが標的にされる可能性があるからです。
攻撃者は、マルウェアで収集した情報を利用し、被害者のモバイル デバイスを制御することで、より複雑なソーシャル エンジニアリング攻撃を実行します。このトロイの木馬でユーザ名とパスワードを収集し、それを積極的に再利用して、被害者が勤務する組織のシステムにログインします。これはまさに、SMS による二要素認証が失敗する例を示しています。攻撃者は SMS を読み取ることができるのです。Duo Security などのクライアントベースの二要素認証を導入することで、こうしたサイドチャネル攻撃から組織を保護することができます。
このマルウェアで非常に巧妙な機能のひとつは復元力です。コマンド & コントロール(C2)サーバがダウンした場合でも、感染したデバイスに SMS メッセージを直接送信することで、マルウェア制御を回復できます。そのため、マルウェアの排除とネットワーク リカバリがきわめて難しく、それが、防御側にとって大きな課題となります。
キャンペーン
このマルウェアの主要な感染ベクトルは SMS です。被害者のアドレス帳から次の標的を選ぶという、昔ながらのメール ワームのように、このバンキング型トロイの木馬のアクティベーション サイクルでも、アドレス帳から情報を抽出します。このトロイの木馬は、マルウェアを拡散する命令を C2 から受信します。
C2 から受信した拡散コマンド
被害者は、sendSMSMass コマンドを受信します。このコマンドは通常、一度に 4 ~ 5 人をターゲットにしており、本文にはメッセージと URL が含まれています。次の被害者が知人からの SMS を受信した場合、マルウェアをインストールする可能性が高いという考え方が、ここでも使用されています。被害者が SMS 本文の URL にアクセスしようとすると、C2 は、モバイル デバイスがマルウェアを受信する条件を満たしているかどうかを確認します(「インフラストラクチャ」セクションを参照)。デバイスが条件を満たしていない場合、データは受信されません。それ以外の場合、デバイスにインストールするマルウェアのコピーを受信できるように 2 番目のサーバにリダイレクトされます。
このキャンペーンのドメインは、2019 年 1 月 19 日に登録されましたが、Talos は、遅くとも 2018 年 11 月以降に使用されていることを確認しています。また、異なるバージョンのマルウェアによって同様のキャンペーンを展開する目的で、同じインフラストラクチャを使用していることも、調査によって把握できました。
被害者の分布
いくつかの要因から、Talos は、非常に高い確率で、このキャンペーンがオーストラリアの金融機関を標的にしていると見ています。Cisco Umbrella のテレメトリによると、要求の大半がオーストラリアから送信され、感染した電話番号の大部分にオーストラリアの国番号が含まれています。また、特定のオーバーレイがオーストラリアの金融機関向けに設計されており、オーストラリアは C2 が受け入れる地理的地域のひとつになっています。
長期的に見た DNS クエリの分布
キャンペーンは、急速には拡大していないようです。Talos のデータによると、ドロップ ホストに 1 時間あたり平均約 3 件の要求が送信されています。この要求はインストールに応じて発生しますが、インストールは必ずしも発生しません。調査中に Talos で受信したコマンド送信用の SMS を分析した結果、マルウェアが次々と拡散されていても、新たな感染者がそれと同じ数だけ増えるわけではないと考えられます。
マルウェアが悪用できるオーバーレイの例
上の画像では、この特定のキャンペーンの一環として、マルウェアに配布されたインジェクションの例を確認できます。
調査の間、別の名前を持つその他のマルウェア パッケージを特定できました。これらの一部は、古いキャンペーンで使用されたか、新たなキャンペーン用に準備されている可能性があります。
マルウェアの技術詳細
Talos での調査中に、「Gustuff」と呼ばれるマルウェアが発見されました。Talos は、侵入の痕跡がない前提で、以前調査したマルウェアと同じであるかどうかを確認することにしました。Talos の脅威インテリジェンスと脅威阻止チームは、Gustuff マルウェアが、Exploit.in フォーラムでレンタル ボットネットとして公表されていることを確認しました。「bestoffer」というこの販売者は、ある時点でフォーラムから追放されています。
公表された Gustuff のスクリーンショット
上の画像で公表されている会社は、オーストラリアを拠点としており、調査したキャンペーンの内容と一致しています。また、作成者が示しているスクリーンショットも、機能の紹介や、Talos が分析中に発見した機能とかみ合います。
管理パネル
管理パネルでは、C2 のコマンドと一致するアプリケーションの設定が確認できます。
国の選択
管理コンソールのスクリーンショットは、結果を国でフィルタリングする機能も示しています。この例の [AU] は、オーストラリアのコードを意味します。
この情報から、Talos は、ほぼ間違いなく、このマルウェアは Gustuff であると見ています。
設計
このマルウェアは、マニフェストで多数の権限を要求しますが、BIND_ADMIN などの権限は要求しません。後述するように、デバイスでアクティビティを実行する際に、強い権限を必要としません。
マニフェスト内の権限
このマルウェアは、検出と分析を回避するように設計され、C2 とマルウェアのコードの両方に、いくつかの保護機能を備えています。コードは難読化されるとともに、パックされています。パッカーによって、静的解析が複雑になるうえ、標準デバッガが中断します。
マニフェスト アクティビティの宣言
dex ファイル内のクラス リスト
主要なマルウェア クラスはパックされ、マニフェストで定義されたクラスには、DEX ファイルに存在しない MAIN カテゴリのハンドラがあります。
Android Studio IDE を使用してマルウェアをデバッグしようとした際にエラーが発生
このパッカーの想定外の動作は、Android Studio IDE でコードをデバッグできないことです。これは、IDE が、マニフェストで宣言されたアクティビティを名前で呼び出すことで、Android Debug Bridge(ADB)からコードを実行するために発生します。このクラスは起動時には存在しないため、このアプリケーションは、デバッガでは実行されません。Talos は、コードのアンパックされたバージョンを分析しましたが、パッカーの分析については、この記事では取り上げません。
エミュレータのコードを確認する
防御の一環として、マルウェア ペイロードはまず、エミュレータを確認してサンドボックスの分析を防ぎます。QEMU、Genymotion、BlueStacks、Bignox といったさまざまなエミュレータを確認し、サンドボックスがエミュレータで実行されていないと判断した場合、検出されないようにその他の確認を行います。
SafetyNet Google API の存在を確認するコード
このマルウェアは、Android SafetyNet が有効で、C2 にレポートしているかどうかも確認します。これにより、C2 は、モバイル デバイスで検出される前に実行可能なアクションを定義できます。
確認対象となるウイルス対策パッケージのリスト
このマルウェア ペイロードは、きわめて効果的に、自身を保護し、モバイル デバイスにインストールされているウイルス対策ソフトウェアを確認します。また、Android アクセシビリティ API を使用して、ユーザとモバイル デバイス間のインタラクションをすべて傍受します。
Android 開発者向けドキュメントでは、アクセシビリティ イベント クラスが、次のように解説されています。「このクラスは、ユーザ インターフェイスで注目すべき状態が発生したときに、システムに生じるアクセシビリティ イベントを表す。たとえば、ボタンがクリックされる、ビューがフォーカスされるなど」。
各インタラクションに対し、マルウェアは、そのジェネレータがウイルス対策リストに含まれるパッケージであるかどうかを確認します。また、その他にも、アクセシビリティ API の機能である「performGlobalAction」関数を悪用します。この関数は、Android ドキュメントで次のように解説されています。
「この関数は、グローバルなアクションである。こうしたアクションは、現在のアプリケーション、またはアプリケーション内のユーザの位置にかかわらず、いつでも実行できる。たとえば、戻る、ホームに戻る、最近使用したアプリケーションを開くなどのアクションがそれに該当する」。
このトロイの木馬は、この関数を、デバイスの「戻るボタン」を押す GLOBAL_ACTION_BACK アクションを使用して呼び出します。そうすることで、ウイルス対策アプリケーションの起動がキャンセルされます。
また、標的となるアプリケーションにユーザがアクセスしようとしたときに、同じイベント傍受を使用して、WebView オーバーレイを配置します。これにより、そのオーバーレイが表示され、クレデンシャルを傍受できます。
ビーコンは、アプリケーションがインストールされ、実行中のタスクから削除された後にのみ開始されます。
ビーコンに関する情報
その ID は、マルウェアのインストールごとに生成され、トークンは一意のままです。前に確認した、safetyNet、admin、defaultSMSApp などの情報が、C2 にただちに送信されます。ビーコンは、60 秒間隔で、http://<サーバ名>/api/v2/get.php という URL に送信されます。
C2 からの応答
C2 は国フィールドを確認します。空の場合、または国がターゲットになっていない場合は、「未承認(Unauthorized)」と応答します。それ以外の場合は、JSON でエンコードした「OK」を、実行するコマンドとともに返します。
使用可能なコマンドのリスト
コマンド名を見ると機能がすぐに分かります。コマンドはビーコンに対する応答として発行され、実行結果は、http://<サーバ名>/api/v2/set_state.php に送信されます。
「changeServer」コマンドの例
コマンドは JSON 形式で発行されます。また、難読化は、パッカーではなく、マルウェアのコードの一部で実行されます。部分的に、base85 エンコーディングによって特別な難読化が行われます。base85 エンコーディングは、一般的に、マルウェアではなく、pdf や PostScript ドキュメントで使用されます。このマルウェアの設定は、同じ難読化スキームを使用して特別な設定ファイルに保存されます。
アクティベーションのサイクル
前述したように、このマルウェアは、いくつかの防御メカニズムを備えており、その中には、難読化と環境確認の他に、興味深いサンドボックス対策のメカニズムがあります。
インストール後、ユーザはそのアプリケーションを実行する必要があります。また、「閉じる」ボタンを押して、インストールを完了しなければなりません。しかし、この操作によってアプリケーションは終了せず、バックグラウンドに配置されます。アプリケーションは、バックグラウンドでサービスをすでに実行中ですが、ビーコンは開始されません。ビーコンは、アプリケーションがバックグラウンドから削除され、最終的に停止した後に初めて開始されます。これが、サービスにとって、ビーコンを開始するトリガーになります。
前述のように、ビーコンは 60 秒ごとに実行されます。ただし、interactiveTime フィールド(上記の「ビーコンに関する情報」の画像を参照)が少なくとも 2000000 の値になるまで、C2 からコマンドは受信されません。この時間は、ユーザが何らかのアクティビティを実行するたびにリセットされます。
その確認の後、マルウェアはアクティブになりますが、まず、7 つの段階を踏み、それぞれで、次のように異なるコマンドを呼び出します。
- uploadPhoneNumbers:所有者の名前と紐付いている、未加工の電話番号のほか、連絡先リストにあるすべての電話番号を抽出します。SMS を最初の感染ベクトルにすることで、別の可能性を得られます。連絡先を抽出する目的のひとつは、それらを使用して、SMS を最初のベクトルにし、他のユーザを攻撃することです。
- checkApps:パラメータとして送信したパッケージがインストールされているかどうかをマルウェアに確認させます。マルウェアのソースコードには、ハードコーディングされた 209 のパッケージを含むリストがあります。ただし、C2 は更新したリストを送信可能です。
C2 から受信したパッケージのリスト
管理用の電話番号
サーバ変更の要求
ネットワークを簡単に識別されないように、新しいサーバの URL を難読化します。
- changeActivity:このコマンドにより、ターゲット アクティビティのいずれかをオーバーレイするように、WebView を設定します。
WebView のインジェクションは、C2 ではホストされません。この場合、まったく異なるサーバでホストされます。
- params:このコマンドにより、マルウェアの設定パラメータを変更します。アクティベーション サイクルのこの段階では、検出を回避するためにビーコンにかける時間を増やします。
- changeArchive:アクティベーション サイクルの最後のコマンドでは、アーカイブのダウンロードを行います。このアーカイブは、WebView と同じホストに保存されます。複数のファイルを含む ZIP ファイルであり、パスワードによって保護されています。
このアクティベーション サイクルの後、マルウェアは情報収集のアクティビティと拡散を開始します。
悪意のあるアクティビティ
マルウェアは、アクティベーション サイクルを終えると、悪意のあるアクティビティを開始します。これらのアクティビティはデバイスの設定によって異なります。標的となるアプリケーションの有無、ウイルス対策ソフトウェアのインストール状況、地理的な場所などに応じて、マルウェアは、標的のアプリケーションからクレデンシャルを収集したり、個人情報をすべて窃取したりできるほか、被害者のデバイスから SMS を送信して、トロイの木馬を拡散することも可能です。
マルウェアは、WebView のオーバーレイを展開して、ユーザを騙し、最終的にログイン クレデンシャルを盗みます。こうした情報が、攻撃者の都合に合わせて流用されます。最初の WebView のオーバーレイは、アクティベーション サイクルの 6 番目の段階で作成されます。
このオーバーレイは、モバイル デバイスのロックを解除するために、ユーザに PIN の入力を要求します。この情報は、ただちに C2 に送信されます。アクティベーション サイクルの最後の段階で行われるのは、パスワードで保護された ZIP ファイルのダウンロードです。このファイルには、オーバーレイの作成に必要なすべての HTML、CSS、PNG ファイルが含まれています。Talos は、銀行や暗号通貨取引所を含む 189 のロゴをアーカイブ内に発見しました。こうした組織がすべて標的になる可能性があります。アーカイブには、オーストラリアの金融機関を標的にするのに必要なすべてのコードも含まれていました。アクティベーション サイクルの 5 番目の段階で説明したように、こうしたオーバーレイが、changeActivity コマンドによってアクティブ化されます。この事例では、オーバーレイの HTML コードが C2 インフラストラクチャに保存されていることが分かります。ただし、必要な情報が、デバイスにダウンロードされるアーカイブにすべて含まれており、SMS 経由でデバイスにアクセスできるため、攻撃者は、C2 インフラストラクチャがなくてもアクティビティを継続できます。
インフラストラクチャ
このマルウェアを支えるインフラストラクチャは、かなり複雑です。すべての段階に、少なくとも 2 つのレイヤがあることは明らかです。
インフラストラクチャには、それほど動的ではないものの、複数のレイヤがあり、各レイヤがある程度の保護機能を備えています。IP アドレスはどれも、ドイツの IP ホスティング会社である Hetzner 社が所有しています。
カバレッジ
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープン ソースの SNORT サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
侵入の痕跡(IOC)
ドメイン数
Facebook-photos-au.su
Homevideo2-12l.ml
videohosting1-5j.gq
URL 件数
hxxp://88.99.227[.]26/html2/2018/GrafKey/new-inj-135-3-dark.html
hxxp://88.99.227[.]26/html2/arc92/au483x.zip
hxxp://94.130.106[.]117:8080/api/v1/report/records.php
hxxp://88.99.227[.]26/html2/new-inj-135-3-white.html
hxxp://facebook-photos-au[.]su/ChristinaMorrow
hxxp://homevideo2-12l[.]ml/mms3/download_3.php
IP アドレス
78.46.201.36
88.99.170.84
88.99.227.26
94.130.106.117
88.99.174.200
88.99.189.31
ハッシュ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追加情報
モニタリングされたパッケージ
pin.secret.access
com.chase.sig.android
com.morganstanley.clientmobile.prod
com.wf.wellsfargomobile
com.citi.citimobile
com.konylabs.capitalone
com.infonow.bofa
com.htsu.hsbcpersonalbanking
com.usaa.mobile.android.usaa
com.schwab.mobile
com.americanexpress.android.acctsvcs.us
com.pnc.ecommerce.mobile
com.regions.mobbanking
com.clairmail.fth
com.grppl.android.shell.BOS
com.tdbank
com.huntington.m
com.citizensbank.androidapp
com.usbank.mobilebanking
com.ally.MobileBanking
com.key.android
com.unionbank.ecommerce.mobile.android
com.mfoundry.mb.android.mb_BMOH071025661
com.bbt.cmol
com.sovereign.santander
com.mtb.mbanking.sc.retail.prod
com.fi9293.godough
com.commbank.netbank
org.westpac.bank
org.stgeorge.bank
au.com.nab.mobile
au.com.bankwest.mobile
au.com.ingdirect.android
org.banksa.bank
com.anz.android
com.anz.android.gomoney
com.citibank.mobile.au
org.bom.bank
com.latuabancaperandroid
com.comarch.mobile
com.jpm.sig.android
com.konylabs.cbplpat
by.belinvestbank
no.apps.dnbnor
com.arkea.phonegap
com.alseda.bpssberbank
com.belveb.belvebmobile
com.finanteq.finance.ca
pl.eurobank
pl.eurobank2
pl.noblebank.mobile
com.getingroup.mobilebanking
hr.asseco.android.mtoken.getin
pl.getinleasing.mobile
com.icp.ikasa.getinon
eu.eleader.mobilebanking.pekao
softax.pekao.powerpay
softax.pekao.mpos
dk.jyskebank.mobilbank
com.starfinanz.smob.android.bwmobilbanking
eu.newfrontier.iBanking.mobile.SOG.Retail
com.accessbank.accessbankapp
com.sbi.SBIFreedomPlus
com.zenithBank.eazymoney
net.cts.android.centralbank
com.f1soft.nmbmobilebanking.activities.main
com.lb.smartpay
com.mbmobile
com.db.mobilebanking
com.botw.mobilebanking
com.fg.wallet
com.sbi.SBISecure
com.icsfs.safwa
com.interswitchng.www
com.dhanlaxmi.dhansmart.mtc
com.icomvision.bsc.tbc
hr.asseco.android.jimba.cecro
com.vanso.gtbankapp
com.fss.pnbpsp
com.mfino.sterling
cy.com.netinfo.netteller.boc
ge.mobility.basisbank
com.snapwork.IDBI
com.lcode.apgvb
com.fact.jib
mn.egolomt.bank
com.pnbrewardz
com.firstbank.firstmobile
wit.android.bcpBankingApp.millenniumPL
com.grppl.android.shell.halifax
com.revolut.revolut
de.commerzbanking.mobil
uk.co.santander.santanderUK
se.nordea.mobilebank
com.snapwork.hdfc
com.csam.icici.bank.imobile
com.msf.kbank.mobile
com.bmm.mobilebankingapp
net.bnpparibas.mescomptes
fr.banquepopulaire.cyberplus
com.caisseepargne.android.mobilebanking
com.palatine.android.mobilebanking.prod
com.ocito.cdn.activity.creditdunord
com.fullsix.android.labanquepostale.accountaccess
mobi.societegenerale.mobile.lappli
com.db.businessline.cardapp
com.skh.android.mbanking
com.ifs.banking.fiid1491
de.dkb.portalapp
pl.pkobp.ipkobiznes
pl.com.suntech.mobileconnect
eu.eleader.mobilebanking.pekao.firm
pl.mbank
pl.upaid.nfcwallet.mbank
eu.eleader.mobilebanking.bre
pl.asseco.mpromak.android.app.bre
pl.asseco.mpromak.android.app.bre.hd
pl.mbank.mnews
eu.eleader.mobilebanking.raiffeisen
pl.raiffeisen.nfc
hr.asseco.android.jimba.rmb
com.advantage.RaiffeisenBank
pl.bzwbk.ibiznes24
pl.bzwbk.bzwbk24
pl.bzwbk.mobile.tab.bzwbk24
com.comarch.mobile.investment
com.android.vending
com.snapchat.android
jp.naver.line.android
com.viber.voip
com.gettaxi.android
com.whatsapp
com.tencent.mm
com.skype.raider
com.ubercab
com.paypal.android.p2pmobile
com.circle.android
com.coinbase.android
com.walmart.android
com.bestbuy.android
com.ebay.gumtree.au
com.ebay.mobile
com.westernunion.android.mtapp
com.moneybookers.skrillpayments
com.gyft.android
com.amazon.mShop.android.shopping
com.comarch.mobile.banking.bgzbnpparibas.biznes
pl.bnpbgzparibas.firmapp
com.finanteq.finance.bgz
pl.upaid.bgzbnpp
de.postbank.finanzassistent
pl.bph
de.comdirect.android
com.starfinanz.smob.android.sfinanzstatus
de.sdvrz.ihb.mobile.app
pl.ing.mojeing
com.ing.mobile
pl.ing.ingksiegowosc
com.comarch.security.mobilebanking
com.comarch.mobile.investment.ing
com.ingcb.mobile.cbportal
de.buhl.finanzblick
pl.pkobp.iko
pl.ipko.mobile
pl.inteligo.mobile
de.number26.android
pl.millennium.corpApp
eu.transfer24.app
pl.aliorbank.aib
pl.corelogic.mtoken
alior.bankingapp.android
com.ferratumbank.mobilebank
com.swmind.vcc.android.bzwbk_mobile.app
de.schildbach.wallet
piuk.blockchain.android
com.bitcoin.mwallet
com.btcontract.wallet
com.bitpay.wallet
com.bitpay.copay
btc.org.freewallet.app
org.electrum.electrum
com.xapo
com.airbitz
com.kibou.bitcoin
com.qcan.mobile.bitcoin.wallet
me.cryptopay.android
com.bitcoin.wallet
lt.spectrofinance.spectrocoin.android.wallet
com.kryptokit.jaxx
com.wirex
bcn.org.freewallet.app
com.hashengineering.bitcoincash.wallet
bcc.org.freewallet.app
com.coinspace.app
btg.org.freewallet.app
net.bither
co.edgesecure.app
com.arcbit.arcbit
distributedlab.wallet
de.schildbach.wallet_test
com.aegiswallet
com.plutus.wallet
com.coincorner.app.crypt
eth.org.freewallet.app
secret.access
secret.pattern
本稿は 2019年4月16日に Talos Group のブログに投稿された「Ransomware: Because OpSec is Hard?」の抄訳です。