【マルウェア図鑑】アップデートで姿を変える変化系アプリBankBot

Android端末を狙ったマルウェアは多く存在し、知らない間にダウンロード・インストールされ、被害に遭っていたということも少なくなくなりました。

今回は、「ちゃんとした」正規のアプリだったのに、知らぬ間に情報を盗み取る悪意のあるアプリへと変化するケースを紹介したいと思います。

Contents

BankBot(バンクボット)

種類 : トロイの木馬
標的 : 主にAndroid

BankBotの仕組み

「BankBot(バンクボット)」は、インターネットバンキング(ネットバンク)をターゲットとしたトロイの木馬です。

主にGoogle Play経由で配信される正規のAndroidアプリとして配信され、アプリの内容はビデオストリーミングアプリやゲームアプリなど、何の問題もなさそうなアプリとして配信されています。

問題はこの次のステップで、これらのアプリをアップデートさせるタイミングで、BankBotのマルウェアモジュールを組み込みます。
ここでアプリがトロイの木馬にとなり、インストールされたスマートフォンなどの端末から、個人情報やパスワードなどを盗み取ります。

さらに攻撃者はこの個人情報を利用し、ネットバンクにアクセスして不正送金などを行います。

BankBotが怖いのは、「正規のアプリ」だから

このような仕組みで配布されるアプリは20種類以上から確認されています。

Google Playの正規のマーケットを通じて配布されることで、ユーザーは警戒することなくアプリをダウンロードしてしまう恐れがあります。

「盗み」と「送金」は別々に行われる!

また、トロイの木馬と化したアプリを通じて情報を盗み取ることと、ネットバンクへの不正アクセスを別々の操作で行うことで、ユーザーに怪しまれることや気付かれることもなく、不正送金が行われてしまうという仕組みです。

従来のマルウェアは元からマルウェアモジュールを含むアプリとして、Google Playにアップロードしていましたが、Googleによるセキュリティの強化により、アップロードができなくなった背景があることで、まずは無害の正規のアプリとしてマーケットへアップロードし、更新のタイミングでマルウェアを組み込む手続きをとるようになった。

ダウンロードするときに気をつけたい点と対策

現在大半のアプリはGoogle Playから削除されているもの、一部のアプリが残っているとみられるため、アプリダウンロードの際はレビューや配布元を確認する等で注意したい。