モバイルバンキング型トロイの木馬「Riltok」の亜種、標的地域をロシア外へと拡大

[本リリースは、2019年6月25日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyの調査チームは、金銭を窃取するモバイルマルウェア「Riltok」の新たな亜種が、標的地域をロシアから拡大していることを発見しました。Riltokは、フランス、イタリア、英国で人気のある複数のサービスを装い、欧州を皮切りに世界中に拡大しています。

Riltok（名前の由来はReal Talk）は、2018年半ばに初めて検知されたバンキング型トロイの木馬です。主にログイン認証情報を窃取し、オンラインバンキングのセッションを乗っ取ることで、標的のユーザーが保有する金融機関の口座と資産にアクセスするよう設計されているため、スマートフォンのユーザーにとって危険な脅威となります。トロイの木馬は通常、正規のWebサービスやアプリを装い、ユーザーをだましてソフトウェアをインストールさせ、認証情報や機密データを入力させます。

Riltokの攻撃シナリオは、大抵の場合、偽のWebサイトのリンクが記載されたSMSメッセージをユーザーが受け取るところから始まります。リンク先のサイトは、無料のクラシファイド広告サービスと非常によく似ています。偽サイトを開くと、そのサービスのモバイルアプリの新しいバージョンをインストールするよう促されますが、実際にインストールされるのはRiltokマルウェアです。マルウェアがダウンロードされ、感染した標的のデバイスから必要な権限を手に入れると、RiltokはデフォルトのSMSアプリとして自身を設定します。これにより攻撃者は、オンラインバンキングの認証コードを含む、すべてのSMSメッセージの閲覧が可能になるほか、マルウェアをさらに広めるために、登録している連絡先にSMSを送信することもできるようになります。

■Riltokの主な攻撃の手口

• 偽のGoogle Playストアの画面を表示して、標的にクレジットカード情報の入力を要求し、認証情報を搾取します。入力された数字の桁数を数えるなど、提供されたカード情報が正しいことを確認するための基本的なチェックも実行します。
• 正規のバンキングアプリに似せた偽画面を表示する、もしくはフィッシングページをWebブラウザーで開くことで、銀行口座の認証情報を搾取します。
• デバイスの安全性を確保する専用のセキュリティソリューションや設定など、ほかのアプリのアクティビティと設定を隠します。
• 正規のバンキングアプリからの通知を隠します。

Kasperskyのエキスパートは、このマルウェアによる攻撃をこれまで約4,000件検知しました。場所は主にロシアでしたが、イタリア、フランス、英国にも及んでいます。

Kasperskyのセキュリティリサーチャー、タチアナ・シシュコヴァ（Tatyana Shishkova）は次のように述べています。「私たちは、Riltokマルウェアがゆっくりと、しかし確実にロシア全域に広がってきたのを見てきました。この脅威の背後に潜むサイバー犯罪者は、欧州を皮切りに新たな国や大陸に勢力を拡大しているため、攻撃はさらに増加すると予想しています。このような攻撃シナリオを過去に何度も見てきましたが、私たちの経験では、サイバー犯罪組織はマルウェアの作成に成功し、ロシアでテストした後は、ほかの国や地域向けにマルウェアを改変し、新たな領域を開拓します。このような脅威は最終的には世界中に広がるのが一般的です」

カスペルスキー製品では、Riltokの攻撃を「Trojan-Banker.AndroidOS.Riltok」として検知・ブロックします。

■金融系マルウェアの攻撃を受けないための推奨事項：

• SMSで送られてきた怪しいリンクを絶対にクリックしない。
• 公式のアプリストアなど、信頼できるソースからのみアプリをインストールする。
• アプリが要求する権限を常に確認する。アプリの機能に関連しない権限を求められた場合は、悪意のあるアプリの可能性があります。
• 悪意のあるソフトウェアおよびそのアクションから保護する堅牢なセキュリティソリューションを使用する。

詳しくは、Securelistブログ「Riltok mobile Trojan: A banker with global reach」（英語）をご覧ください。