アンドロイド搭載スマートフォンで動作するトロイの木馬型マルウェアの亜種が、仮想取引所コインベース、決済会社ビットペイ、ビットコイン・ウォレットなどの32ウォレットユーザー、また米大手銀行のJPモルガン、ウェルズ・ファーゴ、バンク・オブ・アメリカなどの銀行系サイトを利用する顧客を標的にしていることが明らかになった。テック系ニュースサイト、ザ・ネクスト・ウェブが3月28日に報じた。
ロシア拠点のサイバー犯罪分析企業グループIB(Group-IB)の調査によると、初検出のトロイの木馬が報告され、「グスタフ(Gustuff)」と名付けられた。グスタフは、大量感染を目的に設計されたと見なされ、アンドロイド用パッケージファイルへのリンクを含むSMSメッセージによって拡散されている。
🆕#GroupIB uncovers #Android #Trojan #Gustuff capable of targeting more than 100 global banking apps, cryptocurrency and marketplace applications Gustuff is a new generation of #malware complete with automated features designed to steal fiat and crypto https://t.co/gUC9il5AKc pic.twitter.com/sBNvDelIrI
— Group-IB (@GroupIB_GIB) 2019年3月28日
グスタフ作成者は、アンドロイド用アプリで多用されている支払い項目などへの自動入力機能を悪用し、自動送金を誘発することで、盗難の高速化と拡大を目指す「自動転送システム(ATS)」を作成したと伝えられている。
またグスタフは、最大32の仮想通貨アプリのユーザーを標的に正規アプリに偽装し、パスワードなどユーザーの機密情報を盗み出すフィッシング詐欺サイトを多数作り出すことを目的としているという。その仕組みは、正規アプリのアイコンを盗用したプッシュ通知を行うことで、偽装アプリや正規ウェブサイトを模倣した偽装データをダウンロードさせ、自動入力を誘発させるという流れのようだ。
障害者向けに設計されたアンドロイドのユーザー補助機能を悪用しており、グループIBは比較的まれで効果的なトリックと分析している。
グループIBは、米国27社、ポーランド16社、オーストラリア10社、ドイツ9社、インド8社を含む100行以上の銀行系アプリ、32社の仮想通貨系アプリなどを標的とした偽装アプリを特定したと主張。さらに、ペイパル、オンライン銀行「レボリュート」、ウエスタンユニオン、イーベイ、ウォルマート、スカイプ、ワッツアップなどの支払いシステムおよびメッセンジャーアプリも標的と明かしたという。
グループIBは、アンドロイドユーザーは、正規ストア「Google Play ストア」からのみアプリをダウンロードすること、またダウンロードしたファイルの拡張子に注意することを呼びかけている。
翻訳・編集 コインテレグラフ日本版
原文 Android Malware Targets Users of 32 Crypto Apps, Including Coinbase, BitPay