Geekly Articles each Day

時々圌らは戻っおきたす。 モバむルバンカヌBankBotがGoogle Playに戻る

今幎の初めに最初に話したモバむルバンカヌは、新しい機胜を取埗し、再びGoogle Playを通じお配信されたした。

その幎、BankBotは進化し、そのバヌゞョンはGoogle Playず非公匏プラットフォヌムに登堎したした。 最埌に、9月4日に、進化のすべおの機胜を組み合わせた最初のオプションをGoogle Playで発芋したしたコヌド難読化の改善、メむンコンポヌネントを配信するための高床な機胜、Android Accessibility Serviceを䜿甚する高床な感染メカニズム。


Android Accessibility Serviceを䜿甚する機胜は、以前に䞻にGoogle Playの倖郚に配垃されたいく぀かのトロむの朚銬を実蚌したした。 SfyLabsずZscalerによる最近の調査では 、BankBotオペレヌタヌが、バンカヌコンポヌネントを持たないアクセシビリティアプリケヌションをGoogle Playに远加したこずが確認されおいたす。

バンカヌ機胜を備えた「既存のパズル」が、Jewels Star Classicゲヌムを装っおGoogle Playに登堎したした。 攻撃者は、悪意のあるキャンペヌンに関連しないITREEGAMER開発者の人気のある正圓なゲヌムラむンの名前を䜿甚したこずに泚意するこずが重芁です。

悪意のあるアプリケヌションに぀いおGoogleのセキュリティに通知したした。 ただし、アンむンストヌルされる前に、玄5,000人のナヌザヌがアプリケヌションをむンストヌルしたした。

動䜜原理


ナヌザヌがGameDevTony開発者のJewels Star Classicをダりンロヌドするず䞋の図、隠されたアドオンを備えた動䜜するAndroidゲヌムを受け取りたす。


図1. Google Playの悪意のあるアプリケヌション

Jewels Star Classicを最初に実行しおから20分埌に、悪意のあるサヌビスがアクティブになりたす。 感染したデバむスには、Googleサヌビスず呌ばれる機胜を有効にするように求めるメッセヌゞが衚瀺されたすナヌザヌの珟圚のアクティビティに関係なく、ゲヌムぞの明瀺的な接続なしに悪意のある通知が衚瀺されたす。

画面から通知を削陀する唯䞀の方法は、[OK]をクリックするこずです。 その埌、ナヌザヌはAndroid Accessibilityのアクセシビリティメニュヌにリダむレクトされ、これらの機胜を備えたサヌビスが管理されたす。 リストにある正圓なものの䞭には、マルりェアによっお䜜成されたGoogleサヌビスず呌ばれるサヌビスがありたす。 サヌビスの説明は、元のGoogle ナヌザヌ契玄をコピヌしたす 。


図2.ナヌザヌにGoogleサヌビスを有効にするよう促す通知


図3. AndroidアクセシビリティサヌビスにリストされおいるGoogleサヌビス


図4. Googleナヌザヌ契玄から取埗した悪意のあるサヌビスの説明

サヌビスをアクティブにするこずを決定するず、ナヌザヌには必芁なアクセス蚱可のリストが衚瀺されたすアクションの監芖、りィンドりのコンテンツの受信、タッチによる探玢の有効化、Webアクセシビリティの向䞊の有効化、ゞェスチャヌの管理図5。

[OK]ボタンをクリックするず、マルりェアはアクセシビリティサヌビスを䜿甚できたす。 これらの蚱可を䞎えるこずにより、ナヌザヌは悪意のある掻動を継続するために必芁な行動の完党な自由を銀行家に䞎えたす。


図5. Googleサヌビスを有効にするために必芁な暩限

実際には、これらの蚱可を受け入れた埌、ナヌザヌはGoogleサヌビスの曎新により画面ぞのアクセスを䞀時的に拒吊されたす。 実際、Googleずは関係がなく、フォアグラりンドプロセスずしお機胜したす図6。


図6.悪意のあるアクティビティを隠す画面

Malvarはこの画面を䜿甚しお、取埗したアクセシビリティ蚱可を䜿甚しお次のステップを非衚瀺にしたす。 ナヌザヌがダミヌの曎新をダりンロヌドするこずを期埅しおいる間、マルりェアは次のタスクを実行したす。


これらのタスクを正垞に完了するず、マルりェアは次の䜜業を開始できたす-被害者のクレゞットカヌド情報の盗難。 モバむルバンキングアプリケヌションを察象ずし、ログむンおよびパスワヌド入力フォヌムをシミュレヌトする他のバヌゞョンのBankBotずは異なり、このバヌゞョンはすべおのAndroidデバむスにプリむンストヌルされおいるアプリケヌションであるGoogle Playでのみ「特化」したす。

ナヌザヌがGoogle Playアプリケヌションを起動するず、BankBotは正圓なアプリケヌションの画面に入り、ナヌザヌのクレゞットカヌドデヌタを入力するための停のフォヌムを閉じたす図7。


図7.ナヌザヌの銀行カヌドデヌタを入力するフォヌムのシミュレヌション

ナヌザヌが停物を認識せず、銀行カヌド情報を入力した堎合、攻撃者は成功したした。 BankBotをデフォルトのメッセヌゞングアプリずしお蚭定するこずにより、マルりェアは感染したデバむスを通過するすべおのSMSをキャッチしたす。 これにより、攻撃者は銀行の2芁玠認蚌をバむパスできたす。これは、攻撃者ず被害者の銀行口座ずの間の最埌の障害ずなりたす。

危険なBankBotずは


このキャンペヌンでは、攻撃者はAndroidマルりェア䜜成者の間でたすたす人気が高たっおいるいく぀かの手法を組み合わせたした。Androidアクセシビリティサヌビスの䜿甚、Googleを装っお、悪意のあるアクティビティの実行を遅らせおGoogleのセキュリティ察策を回避するタむマヌを蚭定する

これらの手法は、被害者が脅嚁をタむムリヌに認識するこずを困難にしたす。 マルりェアはGoogleになりすたしお最初の通知を衚瀺するたで20分埅機するため、ナヌザヌはそのアクティビティを最近ダりンロヌドしたJewel Star Classicアプリケヌションに関連付ける機䌚がほずんどありたせん。 最埌に、感染プロセスでマルりェアが䜿甚する倚くの名前により、脅嚁をロヌカラむズしお手動で削陀するこずが難しくなりたす。

感染したデバむスをきれいにする方法は


Google Playや他のサむトからアプリケヌションを頻繁にダりンロヌドする堎合は、デバむス䞊のBankBotの有無を確認する必芁がありたす。

Jewels Star Classicが欠萜しおいるこずを確認するだけでは十分ではありたせん。攻撃者は、しばしばBankBotの配垃に䜿甚するアプリケヌションを倉曎するためです。 デバむスが感染しおいるかどうかを確認するには、次の症状を確認するこずをお勧めしたす。




図8.アプリケヌションマネヌゞャヌの悪意のあるアプリケヌション


図9.アクティブなデバむス管理者のリストでシステム曎新を装ったBankBot

これらの兆候はいずれも、BankBotの新しいバヌゞョンによる感染の可胜性を瀺しおいたす。
マルりェアを手動で削陀するには、システムアップデヌトのデバむス管理者暩限をキャンセルしおから、Google Updateず察応するトロむの朚銬化されたアプリケヌションをアンむンストヌルしたす。

感染を匕き起こしたトロむの朚銬化されたアプリケヌションこの䟋ではJewels Star Classicを芋぀けるこずは、悪意のあるアクティビティの開始に20分の遅延があり、期埅どおりに機胜するため困難です。 すべおのコンポヌネントで脅嚁を怜出しお削陀するには、モバむルデバむスのセキュリティに信頌できる゜リュヌションを䜿甚するこずをお勧めしたす。

ESET補品は、このBankBotのバリアントをAndroid / Spy.Banker.LAずしお怜出したす。

自分を守る方法は


モバむルデバむスのセキュリティに信頌性の高い゜リュヌションを䜿甚するこずに加えお、いく぀かの予防策がありたす。


サンプル/䟵害の指暙


パッケヌゞ名 / ハッシュ
com.mygamejewelsclassic.app B556FB1282578FFACDBF2126480A7C221E610F2F
com.w8fjgwopjmv.ngfes.app 4D3E3E7A1747CF845D21EC5E9F20F399D491C724

Source: https://habr.com/ru/post/J339158/

More articles:


All Articles