SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2021年9月10日号

***************************************************************
 悪性マルウェアのAndroidバンキング型トロイの木馬レンタル闇サイトを確認
***************************************************************
9月8日悪性マルウェアのAndroidバンキング型トロイの木馬をレンタルする闇サイトを海外ブラック
マーケットで確認した。
このマルウェアはボットネットを構築し、アンドロイド利用者が金融機関等のアプリを利用すると自動
的に情報収集するというものである。

確認日  :2021/09/08
公開日  :2021/09/07
確認場所:海外ブラックマーケット
掲示言語:英語/ロシア語

BlackRockと呼ばれるこのマルウェアの機能はオーバーレイ攻撃の実行、SMSメッセージの送信、
スパム、盗難、ランチャーアクティビティ(デバイスのホーム画面)の被害者のロック、通知の盗難と非
表示、ウイルス対策ソフトウェアの回避、キーロガーなどの機能を持っている。

BlackRockは2020年5月にハッカーグループによって設計および開発された新しいAndroidマル
ウェアとして確認されていて、数百のAndroidアプリケーションを標的として、このAndroidアプリを
使用している数百万ものユーザの機密データを盗むことが可能となる。

今回このマルウェアがアップデートされレンタル利用できるようになっている。
Androidが主要アンチウイルスベンダーの対策ソフトウェアを起動すると、 BlackRockはデバイスの
ホーム画面にリダイレクトし、Total Commander/ SD Maid/ Superb Cleanerなどの
Androidデバイスをクリーンアップする。
そしてBlackRockは、被害者がデバイスから当該マルウェアを削除し復旧させることを回避して
通信下に潜み、重要情報を正確に収集する。

攻撃者がこのサイトからマルウェアをレンタルすれば、悪性サイトにダウンロードするように設置して
MailやSMSを使いAndroidユーザを悪性サイトに誘導し、 BlackRockマルウェアをダウンロード
させる。
BlackRockマルウェアをダウンロードしたAndroidは、ゾンビ化して他のBotnet Androidと連動
する、この時アンチウイルスソフトが起動しても回避してAndroid内部に潜む。

回避可能なアンチウイルスソフト(ベンダー)は以下の通り
●Avast     
●AVG      
●BitDefender 
●Eset
●Symantec
●TrendMicro
●Kaspersky
●McAfee
●Avira
●その他ハッカーが指定するアプリケーション

更にマルウェアが挿入されたAndroidユーザが金融アプリケーションを通じて指定のサイトにアクセス
すると情報が搾取される。
攻撃者は、搾取された情報を使い、なりすましログインをすることでAndroid顧客になりすまして
操作が可能になる。
マルウェアを挿入されたAndroidユーザならびに対象金融サイトは金銭の不正搾取が発生する。

そしてサイバー攻撃者が指定する数百のアプリはネット銀行や暗号資産、ショッピングサイトや動画
配信サイトなどのアプリが含まれている。
その中に日本企業のアプリが2つ存在していた。
android.coincheck.jpとnetbk.co.jpである。

それ以外にも海外のネットバンク、bitcoin、bockchainなどの暗号資産のサイト、amazon、
netflix等のショッピング、動画配信サイト等の海外サイトも含まれている。

あくまで、BlackRockマルウェアをダウンロードして挿入されたAndroid機器から、指定するサイトに
アプリを通じてアクセスした場合に発生するものであるが十分に注意しなければならない。

Androidユーザは主だったアンチウイルスベンダーのソフトでは検出出来ないため、心当たりがある
人は詳しい人に相談する事が望ましい。

9月2日には中国ダークウェブに「日本の銀行の最新会員情報を販売」という件名の売買情報が
発生し、その数は4万8千201件でサンプルまで公開されていた。
7月、8月と銀行の情報売買の数は増えており、中には都市銀行のDBを販売するものまであった。
金融機関もネットバンクが主流になってきているが、情報は確実に流出していると考えていいだろう。

それ以外では、9月に入り海外ブラックマーケットには「ハッキングされた日本のサイト」という件名で
サイト内の情報売買を呼びかける掲示が発生、しかもその245URLが公開されている。
中には会員登録で個人情報を収集するサイトやショッピング可能でクレジットカード情報を収集する
サイトもあり、自治体や公共機関、大学、企業と無差別に攻撃されている。

免許証や保険証に至っては、ダークウェブ、海外ブラックマーケット、中国ブラックマーケットのどこでも
大量に販売されていて、その数は数万件にも上る。

デジタル庁が正式に立ち上がり日本のデジタル社会の形成を前面に押し出しているが、利便性ばかり
の自己満足なデジタル社会は結果として日本の首を締め上げる事になる。
情報流出が当たり前の現在では、バーチャルの闇社会には【自分の名を語る別の自分】が存在する
事を理解しておかなければならない。

本当のデジタル社会とは何か?国も企業も個人も早く気付かなければ大変なことになる。
---------------------------------------------------------------------------------
 <参考URL>
Kaspersky:2021/9/2
拡大を続けるバンキングマルウェア「QakBot」
https://www.kaspersky.co.jp/about/press-releases/2021_vir03092021

現代ビジネス:2021/9/7
いいとこどりのデジタル庁は、結局「みずほ銀行」になっていくのか
https://gendai.ismedia.jp/articles/-/86950?imp=0

Remove Malware:2020/7/20
ブラックロックANDROIDバンキング型トロイの木馬が認証情報とカード支払いの詳細を盗む
https://malware-remove.com/jp/%E3%83%96%E3%83%A9%E3%83%83%E3%82%AF%E3%83%AD%E3%83%83%E3%82%AFandroid%E3%83%90%E3%83%B3%E3%82%AD%E3%83%B3%E3%82%B0%E5%9E%8B%E3%83%88%E3%83%AD%E3%82%A4%E3%81%AE%E6%9C%A8%E9%A6%AC%E3%81%8C%E8%AA%8D

SouthPlume NEWS:2021/9/8
金融機関に被害をもたらす危険なアンドロイドマルウェアレンタルサイト確認・・・
http://www.southplume.com/news20210908.html

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved