Gigabud RATとGigabud.Loan

Gigabud RATとGigabud.Loanはどちらもマルウェアです。
名前と形式に異なる部分はありますが、どちらもユーザの個人情報を盗み出します。

• Gigabud RAT
  名前の通りこれはRAT、リモートアクセストロイです。
  Android向けに作られたAPK形式のファイルです。
  フィッシングサイトの詐欺サイトのコンテンツの一部として公開され、これを見た人が入手して被害にあう形になります。
  Gigabud.RATは、政府や金融機関のアプリケーションを含む正規のアプリを模倣するトロイの木馬で、認証情報のキャプチャ技術の一部として画面キャプチャとキーロガー技術を悪用して、認証情報やその他の機密情報にアクセスします。
  さらに、二要素認証をバイパスし、クリップボード内の銀行カード番号を置き換え、被害者のデバイスのリモートアクセスを通じて自動支払いを実行することができます。
  アクセシビリティサービスを悪用し、脅威アクターがユーザーのデバイス上でジェスチャを実行することも可能となります。
  入力されるパスワードを取得する機能もアクセシビリティサービスの悪用で実現しています。
• Gigabud.Loan
  こちらは同じくAndroid向けのマルウェアですが、内容はGigabud RATとは異なります。
  大まかにいうとGigabud RATからRAT機能を取り除いたようなものとなっています。
  フィッシングサイトの詐欺サイトのコンテンツの一部として公開され、これを見た人が入手して被害にあう形でも配布されていますし、それに加えてインスタントメッセンジャーを通じてAPKファイルを直接配信するという大胆な方法も使用します。
  Gigabud.Loanは、 Gigabud RATの偽のローンバージョンであり、ユーザー入力データを抽出する機能を持ちますが、RAT機能は搭載されていません。
  存在しない金融機関になりすましてユーザーの信頼を悪用し、融資を受けるために氏名、身分証明書番号、国民身分証明書の写真、デジタルサイン、学歴、収入情報、銀行カード情報、電話番号などの個人情報を収集します。
  偽の融資要求は、詐欺師が貸し手を装い、融資提供者を装った個人に金銭を要求する詐欺手法です。詐欺師は通常、迷惑メールの送信や電話をかけるなど、さまざまな方法で被害者をターゲットにし、被害者に金銭を送金させるよう説得します。

内容に異なる部分があるこれら2つのマルウェアですが、同じ証明書を使っているだけでなくいくつもの共通点を持つため、これらは出所が同じものであると考えられています。
そしてこれらはどちらも正規の配布方法での配布は行われていません。
そうです、Androidの設定の「不明なアプリのインストール」が初期設定のままの無効の状態である場合、これらのマルウェアの被害にあうことはありません。
加えて、これらのマルウェアはアクセシビリティサービスを悪用する必要がある機能を持っているため、アクセシビリティサービスの利用を許可する操作を行うまで悪意ある活動を実行できません。

これらのマルウェア、動作が始まった後の内容はよく練られていて被害者に疑問を持たれにくいようにできています。
利用を始めてしまってから被害を防ぐことは容易ではありません。
アンチウイルス機構で防御できる可能性も残ってはいますが、亜種が生まれることを想像すると大きな効果の期待は難しそうです。アンチウイルス機構での防御は追加的な対策であると認識すべきなのかもしれません。

これらのマルウェア向けの対策はいつも通りになりそうです。
不用意に「不明なアプリのインストール」を有効にしない、簡単に権限設定を許可してしまわない、こういった心掛けが重要ということなのでしょうね。

参考記事（外部リンク）：Breaking down Gigabud banking malware with Group-IB Fraud Matrix
www.group-ib.com/blog/gigabud-banking-malware/