Nexusマルウェアは、Malware-as-a-Service(MaaS)モデルを通じて拡散されるAndroid向けバンキング型トロイの木馬です。イタリアに拠点を置くサイバーセキュリティソリューションプロバイダーであるCleafyの最新調査によると、このマルウェアは2023年1月以降、複数のサイバー犯罪アンダーグラウンドフォーラムで宣伝されています。
サイバー犯罪の地下フォーラムの広告では、このマルウェアプロジェクトは「非常に新しい」かつ「継続的に開発中」と説明されています。あるフォーラムスレッドにはNexusの作者からのメッセージが複数投稿されており、マルウェアのコードがゼロから作成されたことが示唆されています。興味深い点として、作者はロシアおよび独立国家共同体(CIS)諸国におけるこのマルウェアの使用を禁止しています。
ジャンプ先:
- Nexus Androidマルウェアの潜在的な影響
- Nexus Androidマルウェアの技術分析
- SOVA Androidバンキングマルウェアとの類似点
- Nexus Androidマルウェアの脅威から身を守る方法
Nexus Androidマルウェアの潜在的な影響
Nexus制御サーバーの数は増加しており、脅威は増大しています。Cleafy Labsによると、2023年にはNexusを制御するために16台以上のサーバーが発見されており、おそらくMaaSプログラムの複数の関連会社によって使用されていたと考えられます。
Cleafy の研究者は、「VNC モジュールがないため、その動作範囲と機能は制限されますが、複数の C2 パネルから取得した感染率によると、Nexus は世界中の何百ものデバイスに感染する可能性のある真の脅威です」と述べています。
Nexus は、MaaS サブスクリプションを通じて月額 3,000 ドルで販売されており、マルウェアを開発したり、ウイルス対策ソリューションを回避するためにマルウェアを暗号化したりする専門知識を持たないサイバー犯罪者にとっては魅力的な機会となります。
Nexus Androidマルウェアの技術分析
Nexus マルウェアは Android オペレーティング システム上で実行され、サイバー犯罪者にとって興味深い機能をいくつか備えています。
アカウント乗っ取り攻撃は、Nexusマルウェアによって実行されます。Nexusは、ユーザーの認証情報を取得するために、450もの金融アプリケーションのログインページを網羅的にリスト化しています。また、オーバーレイ攻撃やユーザーのキーログ記録も可能です。
オーバーレイ攻撃は、モバイルバンキング型トロイの木馬で非常によく見られます。正規のアプリケーションの上にウィンドウを表示し、ユーザーに認証情報を要求して盗み出す攻撃です。オーバーレイ攻撃は、特定のサイトからCookieを盗み出すことも可能で、通常はセッションCookieの悪用を目的としています。さらに、Nexus Androidマルウェアは、暗号資産ウォレットから情報を盗み出す可能性があります。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
このマルウェアはSMS傍受機能を備えており、これを利用して二要素認証を回避し、被害者の携帯電話に送信されるセキュリティコードを取得できます。NexusはGoogle Authenticatorアプリの二要素認証コードも取得できます。
Cleafyの研究者は、2022年9月と2023年3月の2つの異なるNexusバイナリのコードを比較することで、マルウェアの開発者が依然として積極的に開発を進めていることを発見しました。被害者の携帯電話で受信したSMSを削除したり、マルウェアの2FA窃取機能を有効化/無効化したりする機能など、新たな機能が登場しています。
Nexusマルウェアは、C2サーバーで最新のバージョン番号を確認し、定期的にアップデートを実行します。受信した値が現在のバージョン番号と一致しない場合、マルウェアは自動的にアップデートを開始します。
Cleafy Labsは、Nexusの複数のサンプルに暗号化機能が見つかったと報告していますが、これらの機能はまだ開発段階にあり、使用されていないようです。このコードはランサムウェアコードを作成するための試みの一部である可能性もあるものの、研究者らは、コードの多くの部分で不正なカットアンドペーストが行われた結果である可能性があると推測しています。また、犯罪行為に使用された後にOSを無力化する破壊的な機能の開発が進行中である可能性もあります。
Cleafy Labs が述べているように、「保存されている情報のほとんどがクラウド サービスと同期されており、簡単に復元できるため、モバイル デバイス上でランサムウェアの手口を想像するのは難しい」とのことです。
Nexus Android ウェブパネル
攻撃者は、Webコントロールパネルを使用して、被害者の携帯電話にインストールされたすべてのマルウェアを制御します。このパネルには450件の金融標的が表示され、熟練した攻撃者であれば、より多くのカスタムインジェクションコードを作成して、他のアプリケーションを標的にすることも可能です。
このパネルにより、攻撃者は感染したすべてのデバイスの状態を確認し、感染したデバイスの台数に関する統計情報を取得できます。また、ログイン認証情報、Cookie、クレジットカード情報、その他の機密情報など、デバイスから盗まれたデータを収集することも可能です。これらの情報はすべてインターフェースから取得され、不正使用のために保存されます。
さらに、Web パネルには、Nexus マルウェアのカスタム構成を作成するために使用できるビルダーが含まれています。
SOVA Androidバンキングマルウェアとの類似点
Cleafy Labsによる綿密なマルウェア分析により、Nexusサンプルと、2021年半ばに出現した別のAndroidバンキング型トロイの木馬であるSOVAの間にコードの類似性が明らかになりました。Nexusの作者はゼロから開発されたと主張していますが、SOVAのコードが再利用されている可能性があります。
SOVAの開発者「sovenok」は最近、以前SOVAをレンタルしていたアフィリエイトがプロジェクトのソースコード全体を盗んだと主張しました。彼らは、Nexusマルウェアプロジェクトと関連があると思われる「Poison」という別のニックネームに注目しました。
SOVA コマンドのほとんどは Nexus で再利用され、一部の機能はまったく同じ方法で開発されました。
Nexus Androidマルウェアの脅威から身を守る方法
感染の初期ベクトルが不明であるため、Android スマートフォンではあらゆるレベルでマルウェア感染から保護することが重要です。
- モバイル デバイス管理ソリューションを展開する:これにより、セキュリティ更新プログラムのインストールやセキュリティ ポリシーの適用など、企業のデバイスをリモートで管理および制御できるようになります。
- 評判の良いウイルス対策ソフトウェアを使用する:また、一般的な脆弱性による侵害を回避するために、OS とすべてのソフトウェアを最新の状態に保ち、パッチを適用してください。
- 不明なストアを避ける:不明なストアには、公式モバイルソフトウェアストアとは異なり、マルウェア検出プロセスが備わっていない場合が多いです。信頼できないソースから入手したソフトウェアをインストールしないよう、すべてのユーザーに注意喚起してください。
- アプリをインストールする際は、要求される権限を慎重に確認してください。アプリは必要なAPIの権限のみを要求する必要があります。例えば、QRコードスキャナーはSMS送信の権限を求めてはいけません。アプリをインストールする前に、必要な権限を確認してください。
- 従業員にモバイル デバイスの安全な使用方法を教育する:悪意のあるアプリ、リンク、添付ファイルを認識して回避する方法について従業員にトレーニングを提供し、疑わしいアクティビティを報告するように促します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
