Mamont Spy Banker

Mamont Spy Bankerは、名前の通りインフォスティーラー型マルウェアです。
どのようなものなのでしょうか。

• ターゲット環境
  狙いの環境はAndroidです。

   

• ChromeのようなGoogle Chrome
  仕掛けられたMamont Spy Bankerは、見た目は通常のAndroid上のアプリとして表示されます。
  アイコンはChromeにそっくりです。
  本物のChromeのアプリの名前は「Chrome」です。
  しかし、Mamont Spy Bankerの表示される名前は「Google Chrome」です。
  そのAndroid端末にアプリをたくさんインストールしている人の場合、元のChromeと偽のChromeがアプリの一覧で遠くに表示されるかもしれません。
  そのとき、この偽のChromeがすぐに偽のアプリであると気が付くことができるでしょうか。

   

• 権限の要求
  利用者は本物のChromeだと思って、偽のChromeを実行します。
  実行すると、いつもとは違って権限を要求されます。
  アプリによっては、バージョンアップしたような場合に権限が変化することもあります。
  この偽のChromeは、電話をかける権限とSMSメッセージを送受信する権限の付与を依頼します。

   

• 当選おめでとうございます
  その後、偽アプリは賞金を獲得したと画面に表示します。
  そして賞金の受け取りのために、いくつかの情報の入力を促します。
  電話番号、クレジットカード番号が要求されます。
  そして、24時間はアプリを削除しないように指示する旨を表示します。

   

• 情報収集
  マルウェアは情報を収集します。
  SMSの送受信の権限を取得しましたので、SMSを見ることができます。
  送受信内容の中にPayPalやWebMoneyなどの金融サービスプロバイダーの情報が含まれているかを確認します。
  欲しい情報が含まれていたSMSメッセージは、攻撃者のTelegramに送信されます。
  その後もSMSの監視は継続され、同じような条件に適合するメッセージは持ち出されます。

金融機関などのアプリの利用のシーンで、二要素認証が利用されることは一般的になっています。
このマルウェアはSMSを利用できますので、そういったシーンでやり取りされる認証情報を得ることができてしまいます。
金融機関のサービスを利用しようとして、SMSで入手した認証情報を入力したらエラーになってしまった、となった場合、通常は単に入力を誤ったのかもしれないと思うと思います。
しかし、もしかしたら、なんらかのマルウェアがその情報を先に利用してしまったために、すでに利用ができない状態になっていたということになってしまっているかもしれません。

このマルウェアは特別なものではありません。
類似のものは、すでに観測されています。
このようなものがあるのだということを認識し、注意することが必要です。

参考記事（外部リンク）：Android: Banking trojan masquerading as Chrome
www.gdatasoftware.com/blog/2024/04/37891-mamont-spy-banker-android