Endpoint Protection

 View Only
Back to Library

Android.Bankosy: 音声通話ベースの 2 段階認証に傍受の危険性 

Jan 13, 2016 12:32 AM

android-ransomware-bankosy-header.png

2015 年の第 4 四半期、シマンテックは金融機関を狙うトロイの木馬で新しい傾向を発見しました。情報を盗み出す Android マルウェア(シマンテックは Android.Bankosy として検出します)のコードに、音声通話ベースの 2 段階認証(2FA)システムを悪用できる機能が追加されたのです。

音声通話ベースの 2 段階認証とは何でしょうか。一般的な 2FA システムの場合、2 番目の情報はワンタイムパスコード(OTP)として生成されるのが普通です。それが、ユーザーの登録したモバイル番号宛てに、ショートメッセージサービス(SMS)を通じて送信されます。これまでにも、被害者のデバイスにインストールされたマルウェアが、着信した SMS で OTP 情報を盗み見たり傍受したりするケースはいくつか確認されていました。そこで、OTP 送信のセキュリティ向上を図るために一部の金融機関は、SMS のかわりに音声通話を使って OTP を送信する仕組みを始めました。そうなれば、マルウェア作成者も、この変化を悪用する手口をすぐに考えつくことは言うまでもありません。

では、Android.Bankosy が音声ベースの 2FA を悪用する手順を見てみましょう。Android.Bankosy は、被害者のデバイスにインストールされると、バックドアを開いてシステム固有情報のリストを収集します。次に、それをコマンド & コントロール(C&C)サーバーに送信してデバイスを登録し、感染したデバイスごとに重複しない ID を発行します。登録に成功すると、Android.Bankosy は受信した固有 ID を使ってさらに C&C サーバーと通信し、コマンドを受け取ります。

20160112_Figure1_JA_3.png
図 1. Android.Bankosy は C&C サーバーと通信してデバイスを登録し、感染したデバイスに対して重複のない ID を取得する

Android.Bankosy でサポートされているコマンドのほとんどは、着信する SMS の遮断、SMS メッセージの削除、データの消去といった一般的なもので、典型的なバックドアや金融系のトロイの木馬にとっては些細な機能です。こうした複数のコマンドのうち、Android.Bankosy で特に重要なのが call_forwarding で、C&C サーバーからこのコマンドを受け取ると、Android.Bankosy はペイロードを実行して通話を転送します。

アジア太平洋地域では、電話会社の大半が、通話の転送を有効化または無効化する特殊なサービスコードをサポートしています。無条件転送を有効にする場合のサービスコードは、

  • *21*[DESTINATION NUMBER]#

です。たとえば、モバイルデバイスで *21*1555215554# とダイヤルすると、「15555215554」という番号に宛てて無条件に着信を転送するように設定されます。転送を無効にする場合のサービスコードは、

  • #21#

です。Android.Bankosy は、C&C サーバーから受け取った発信番号を使ってこのコマンドを発行すれば、狙ったデバイスから無条件で通話を転送できることになります。図 2 は、この機能を実行するコード(クリーンアップ後)を示したものです。

code_snippet_call_forwarding_pred1.png
図 2. 狙ったデバイスで通話の転送を実行するコード

バックドアは、デバイスをロックできるほか、サイレントモードの有効化と無効化もサポートしているため、着信があっても被害者は通知されません。

被害者のデバイスで無条件転送を設定できれば、すでに被害者の資格情報は盗み出してあるので(2 段階認証の最初の要素)、攻撃者はいよいよ処理を始めることができます。システムが第 2 の要素(つまり、音声通話で伝えられた認証トークン)を入力するよう被害者に要求した時点で、攻撃者は転送された着信を受け取り、第 2 要素も入力して処理を続行できます。設計上、こうなるのは当然です。

対処方法
モバイルデバイスでこの種の脅威から身を守るために、セキュリティに関して以下のベストプラクティスに従うことをお勧めします。

  • ソフトウェアは最新の状態に保ちましょう。
  • 見たことのないサイトからアプリをダウンロードすることは避けましょう。
  • アプリは信頼できるソースだけからインストールするようにしてください。
  • アプリがリクエストする許可の種類に注意してください。
  • デバイスとデータを保護するために、ノートンなど適切なモバイル用セキュリティアプリをインストールしましょう。
  • 重要なデータは必ず頻繁にバックアップを作成しておきましょう。

保護対策
シマンテック製品とノートン製品は、この脅威を Android.Bankosy として検出します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.