隠れる機能が強化されたBrazKing
攻撃者側が実施してくる攻撃を回避するため、防御側もいくつもの対策を実施しています。
Android環境で実施されている対策には、こういったものがあります。
- インストールされているアプリケーションの一覧を取得できなくする
- 画面を画像として保存する機能を使用できなくする
- キーストロークを取得できなくする
- 画面全体をオーバーレイ表示することのできる機能を使用できなくする
こういった制約があるため、攻撃側にとっては、以前に比較すると、攻撃を成立させることは容易ではなくなってきています。
BrazKingは以前はPixStealerという別の名称で呼ばれているバンキングトロイに分類されるマルウェアでした。
それが内容が更新され、BrazKingとなりました。
BrazKingでは、上記の状況に対応し、すでに実際に活動していることが観測されています。
- インストールされているアプリケーションの一覧を取得できなくする
マルウェアに搭載した画面分析機能を使用して、感染したデバイスにインストールされているアプリを認識します。
このため、インストールされているアプリケーションの一覧を取得するAPIを使用する必要がなくなっています。 - 画面を画像として保存する機能を使用できなくする
アクセシビリティサービス権限のみがあれば利用できるAPIを使用し、画面内容を解釈することで、表示されている内容を読み取ります。 - キーストロークを取得できなくする
入力されたキーを読み取る方式ではなく、画面上のビューを読み取ることで入力された内容を取得します。 - 画面全体をオーバーレイ表示することのできる機能を使用できなくする
ユーザー補助サービス内から追加されたWebビューウィンドウに、攻撃者のサーバーからのURLとして偽の画面をロードします。
これにより、オーバーレイした場合と同様の表示状態を作り出すことができます。
むしろオーバーレイよりも問題の存在を認識しにくいとも思えます。
マルウェアは、問題を克服しただけではありませんでした。
さらに巧妙化しています。
- 銀行の正規システムの変更に追随できる
マルウェアのなかには、正規の銀行のログイン画面などの内容はハードコードされていません。
オーバーレイで表示する内容はC2サーバから提供されます。
攻撃者側がC2サーバで対策するだけで、感染済みのマルウェアは最新の状況に対応することができます。 - 削除させない
ユーザがマルウェアであるアプリを削除しようと操作を進めると、マルウェアが勝手に戻るボタンとホームボタンをタップします。
ユーザは普通の操作によってマルウェアを削除することはできません。 - ウイルス対策アプリを起動させない
ユーザがウイルスをスキャンさせてマルウェアを削除しようと操作すると、マルウェアが勝手に戻るボタンとホームボタンをタップします。
ユーザは普通の操作によってマルウェアをスキャンすることはできません。 - 工場出荷状態に戻せない
ユーザがスマホを工場出荷状態に戻そうと操作を進めると、マルウェアが勝手に戻るボタンとホームボタンをタップします。
ユーザは普通の操作によって工場出荷状態に戻すことはできません。
ひどい内容が実装されています。
感染してしまうとこのようにかなり面倒なことになります。
公式のPlayストア以外から野良のAPKをインストールすることは、こういった脅威を招きます。
攻撃者は手を変え品を変え、巧妙に野良APKをインストールさせようとしてきます。
しかし、感染してしまうと面倒なので、問題のあるものをそもそもインストールしてしまわないようにする必要がありそうです。
参考記事(外部リンク):Android malware BrazKing returns as a stealthier banking
trojan
www.bleepingcomputer.com/news/security/android-malware-brazking-returns-as-a-stealthier-banking-trojan/
