PixPirate

ほぼこもセキュリティニュース By Terilogy Worx

PixPirateはAndroid向けのバンキング型トロイの木馬です。
ターゲットとなっているシステムはPixです。
Pixはブラジル中央銀行の運営するシステムで、さまざまな銀行のシステムと連携してラテンアメリカ全体でインスタントモバイル決済を行うために使用されるものです。
このPixは広く利用されており、すでに1億以上のアカウントが存在しています。
このインスタントモバイル決済プラットフォームを狙うのがPixPirateです。

  • ドロッパーで設置する
    マルウェアを取り込むマルウェアによって、ローカルに持ち込まれます。
  • アクセシビリティサービスを有効にする
    アクセシビリティサービスはもともとはユーザ支援機能です。
    操作のコントロール、点字ディスプレイの使用、字幕表示、音声読み上げなどの便利な機能を提供します。
    これは多くのマルウェアに悪用されるようになってきている機能ですが、有効にしないと悪用できません。
    PixPirateは稼働時にこれを有効にするように画面表示します。
    なんと驚いたことに、被害者が受け入れるまで、偽のポップアップで永続的に要求し続けます。
    受け入れられるとPixPirateの各種機能が作用できる状態となります。
  • 自動操作機能
    PixPirateはAuto.jsフレームワークによる自動操作機能を持ちます。
    組み込みのJavaScriptインタープリターも搭載するため、通信を使用することなく活動が可能です。
    スワイプジェスチャーの実行、画面のタップ、なども実施可能です。
    このフレームワークを使用し、アンインストールの防止、Google Playプロテクトの無効化、SMSメッセージの傍受、銀行の資格情報の傍受、被害者の金融活動の監視、プッシュ通知によるマルバタイジング、PIX支払いを介してのATS攻撃の実行、を実現します。ATSはAutomatic
    Transfer System、自動送金システムです。
  • パスワードの取得
    アクセシビリティサービスと自動操作機能の効能により、パスワードを取得します。
    Pix経由でターゲットとなる様々な銀行はさまざまなレイアウトを持っているわけですが、その中のどの要素がユーザ名やパスワードとして利用されるのかを判定し取得します。
  • 残高確認機能
    マルウェアは画面をタップすることができますし、すでにアカウント情報も取得しています。
    マルウェアは画面を操作し残高を表示させ、残高情報を取得します。
    こんな活動を勝手にやっていると活動していることが利用者などにわかってしまうのですが、そこも抜かりはありません。
    画面上には別の画面を表示していますので、端末の操作者に残高確認の実施を悟られることにはなりません。
  • SMSハイジャック機能
    SMSを傍受することは一時的な認証機能を利用するなどの都合でマルウェアにとって必要な機能となっています。
    さらにこのマルウェアは勝手に決済アプリを操作しますので、端末操作者の認識しないSMSメッセージを端末が受信するということにもなります。
    この端末操作者の認識しないSMSメッセージをそのままにするとマルウェアの活動が認識されてしまうことにつながります。
    これを回避するため、マルウェアはこの見せたくないSMSメッセージを削除する機能を持ちます。
    勝手に読み取るだけでなく、削除もできてしまうということになります。

自動送金システムをターゲットとしたマルウェアは初めてではありませんが、そのジャンルに新しいマルウェアが追加されてしまいました。
いくつもの手法で難読化がされている状態であることもあり、その詳細な動きを把握することは容易ではありません。
このマルウェアは開発中であるためか、非常に多くの亜種が観測されています。
感染した状態となってしまうと、的確に対処することは難しそうです。

便利さと危険性は常に近くにあるのだと感じます。

参考記事(外部リンク):PixPirate: a new Brazilian Banking Trojan
www.cleafy.com/cleafy-labs/pixpirate-a-new-brazilian-banking-trojan