金融系の認証情報を狙うモバイルバンキング型トロイの木馬「Faketoken」にデータ暗号化機能を備えた亜種が出現

～2,000以上のアプリが標的になり、これまでに27カ国1万6,000人以上を攻撃～

[本リリースは、2016年12月19日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labのリサーチャーは、ユーザーのデータを暗号化する機能を備えたモバイルバンキング型トロイの木馬「Faketoken」の亜種を発見しました。この亜種によって、2,249の金融系Androidアプリが標的にされ、ロシアやウクライナ、ドイツ、タイなど27カ国で1万6,000人以上が攻撃を受けました。

モバイル内のデータは、クラウド上にバックアップされていることが多いため、大半のモバイルランサムウェアは、端末内のデータの暗号化ではなくデバイス自体をブロックして利用できないようにします。しかし、Faketokenの亜種は文書ファイルや写真・動画ファイルなどのデータをAESアルゴリズムによって暗号化します。このアルゴリズムで暗号化されたデータは、身代金を支払うことなくユーザーの手で復号できるケースもあります。

このFaketokenの亜種は、Adobe Flash Playerなどのプログラムやゲームを偽装してユーザーにダウンロードさせ、管理者権限やほかのアプリをオーバーレイ表示する権限、デフォルトのSMSとなる権限などを執拗に要求する画面を表示し、権限を奪取しようとします。ユーザーはこの要求に応じる以外に選択肢はほぼ無く、犯罪者はこうして得た権限によってデータの窃取を可能にします。データの窃取の方法には、連絡先やファイルなどを直接窃取するものと、フィッシングサイトを介した間接的なものとがあります。

また、Faketokenは国際的な規模のデータ窃取を目的に設計されているため、窃取に必要な権限がすべて揃うと、さまざまな地域の言語環境に適合するため77言語が含まれるデータベースをC＆Cサーバーからダウンロードします。これらを利用してフィッシングメッセージを送り、ユーザーのGmailアカウントのパスワードを窃取します。また、Google Playにオーバーレイを用いてフィッシングサイトを表示し、クレジットカード情報を窃取します。実際、攻撃対象アプリの長いリストや関連アプリのフィッシングページを作るためのHTMLページテンプレートをC&Cからダウンロードすることもできます。

Kaspersky Labのシニアマルウェアアナリスト、ロマン・ユヌチェク（Roman Unuchek）は次のように述べています。「Faketokenの最新の亜種は、攻撃者にとって新機能のメリットが限定的である点が興味深いです。とはいえ、決して軽視すべきではありません。今回の亜種は将来的な開発に向けた下準備の可能性もありますし、絶えず進化を続け、成功を収めるマルウェアファミリーでどのような技術革新が継続しているのかが明らかになることも考えられます。弊社はこの脅威を公表するに当たり、脅威を無効化するとともに、ユーザーとそのデバイス、データの保護を支援します」

Kaspersky LabはAndroidユーザーに対し、トロイの木馬Faketokenやほかのマルウェアの脅威を退けるために、以下の対策を推奨しています。

• すべてのデータを確実にバックアップする。
• アプリから権限や許可を求められた場合、むやみに付与せず、何を求められているのか、なぜ求められているのかを考える。
• 堅牢なセキュリティ製品をすべてのデバイスにインストールし、OSソフトウェアを常に最新の状態にしておく。

Kaspersky Labは、データの暗号化が可能なFaketokenのインストールパッケージを数千以上検知しており、初期のものは2016年7月にまでさかのぼります。カスペルスキー製品では、Faketokenマルウェアファミリーのすべての亜種を検知・ブロックします。

Faketokenの最新の亜種について詳しくは、Securelist.comのブログ記事をご覧ください。