幼児のAndroidバンキングマルウェアが再びスプラッシュを作る
Toddlerバンキングマルウェアはまったく新しいものではありませんが、それでも比較的新しいものです。それは2021年1月にセキュリティ研究者のレーダーに最初にぶつかり、大陸ヨーロッパのいくつかの国でAndroidユーザーを攻撃するキャンペーンで発見されました。 PRODAFT脅威インテリジェンスチームのセキュリティ研究者がZDNetが報告した詳細なレポートを公開した後、マルウェアは再び話題になっています。
幼児は、60もの異なるヨーロッパの銀行を使用して被害者に対して実行された攻撃で発見されました。 2021年の夏のレポートによると、攻撃のほとんどはスペインとイタリアのユーザーに集中していましたが、英国だけでなく他のヨーロッパ大陸諸国にもトッドラーを広めるための取り組みがありました。
Androidマルウェアの主な配布方法は、公式のGooglePlayストア以外のソースから取得した.apkファイルです。これまでのところ、公式のGoogleストアで幼児を運ぶアプリの証拠はありません。ただし、ハッカーによって侵害された後、Toddlerをホストしている正当なWebサイトのインスタンスがあります。
Toddlerであることが判明した実際のモバイル感染のすべてのインスタンスは、すべて同じ18の銀行を標的にしています。興味深いことに、感染の大部分はすべて、18の金融機関のうち5つだけに集中しています。レポートのデータを照合したセキュリティ研究者によると、これはSMSテキストメッセージを使用して実施された以前のフィッシングキャンペーンを示している可能性があります。スペインは攻撃の最大のホットスポットであり、合計7600台を超えるAndroidデバイスがToddlerによって攻撃されています。
Toddlerは、他のほとんどの人気のあるバンキングマルウェアとほぼ同じくらい用途が広いです。銀行の詳細を盗んだり、スクリーンショットを撮ったり、着信多要素識別コードを傍受したり、SMSメッセージを傍受したり、コマンドアンドコントロールサーバーからの着信コマンドを処理したりする機能があります。
銀行のクレデンシャルを収集する場合、Toddlerは正当なログイン画面を模倣するオーバーレイを使用します。このマルウェアにはAndroidアプリのモニターが組み込まれており、ユーザーが携帯電話やタブレットで正規のバンキングツールを起動するとすぐにオーバーレイが起動し、入力されたものをすべて盗む準備が整います。
Toddlerを特に興味深いものにするもう1つの機能は、その非常に頑固な永続化メカニズムです。マルウェアはAndroidデバイスの再起動を防ぎ、研究者はデバイスからToddlerを削除するプロセスには「膨大な技術的専門知識」が必要であることを強調しました。