悪意のあるAndroidアプリが実際のサービスとアプリを複製して銀行情報を盗む

2022年の初めには、モバイルマルウェアに関するニュースが殺到しました。セキュリティ研究者がAndroidベースのマルウェアを傍受したさらに別のケースでは、ESETのチームが、マレーシア市場で正規のアプリを偽装し、被害者の銀行情報を盗むためにそれらを使用しているキャンペーンを検出しました。

研究者によると、キャンペーンには少なくとも3つの別々のアプリが関与していました。偽のAndroidアプリは、アジア国内で人気のあるさまざまなサービスとそれに関連する正規のアプリを偽装していました。

ほとんどのなりすましアプリのメイドサービス

このキャンペーンは、8つの異なる銀行を標的にした被害者の銀行の資格情報を盗もうとしていました。偽装されたアプリの大部分はハウスクリーニングとメイドサービスを提供するものであったため、ハウスメイドサービスはマレーシアで非常にホットなトピックのようです。名前には、Grabmaid、Maid4u、およびMaideasyが含まれていました。ペットショップサービスも悪意のあるアプリになりすまされました。

クローン化されてマルウェアが読み込まれたアプリの大部分は、Google Playストアに正規の別個のバージョンとして存在しますが、ハッカーが悪用した名前のサービスの中には、GooglePlayにモバイルアプリさえないものもあります。

攻撃の要点は、被害者が偽のアプリをダウンロードし、その中の製品またはサービスを購入しようとすることです。もちろん、ハッカーが提供している製品はなく、すべてファサードです。購入しようとすると、顧客には2つのオプションが与えられ、そのうちの1つは常にグレー表示され、銀行振込のみが残ります。

被害者が銀行振込を使用しようとすると、8つの異なるマレーシアの銀行のロゴと名前を含む画面が表示されます。被害者が銀行サービスを選択したら、資格情報を入力する必要があります。その時点で、銀行情報が収集され、ハッカーが制御するサーバーに盗み出されます。

悪意のあるアプリがMFASMSを傍受する可能性があります

ハッカーは、同じ偽の製品やサービスを提供するいくつかのアプリに対応するWebページを設定していました。 Webページで何かを購入しようとすると、被害者が悪意のある偽のアプリをダウンロードするだけになるため、Webページは単純なリダイレクトとして機能しました。

最後のトリックの1つとして、キャンペーンの背後にいるハッカーは、銀行が追加のセキュリティとして使用して顧客に送信する可能性のあるMFASMSメッセージを傍受するようにマルウェアを設定しました。これは、悪意のあるキャンペーンが絶対確実だったという意味ではありません。被害者は、ハッカーが後でアカウントからお金を引き出したり送金したりしようとしたときに、何もしなくてもどこからともなくMFAテキストを受信します。