Marcherトロージャン さらにスマートに

2017年8月17日

Marcherと呼ばれるAndroidトロージャンは2013年に現れて以来、無くなる気配がありません。このトロージャンはGoogle Playのユーザーから直接情報を盗むことにフォーカスしたアプリケーションとして出現しました。しかしそれ以来、そのクリエーターたちはユーザーからフィナンシャル情報を騙し得るための方法を調査し、さらなる改善に努めてきたのです。


Marcherは全てのAndroidトロージャンで何度も繰り返し出現しています。それは最も強力なマルウェアで、長期間にわたり膨大の数のデバイスを感染させてきました。その悪質な機能は二つの要素によって攻撃を成功に導いています。一つ目は、感染したスマートフォンに送信されたSMSメッセージを傍受して、二要素認証を回避することです。二つ目は、ユーザーから大切な情報を引き出すため偽のコンテンツを利用して、他のアプリケーションを本物のサイトにオーバーラップすることができることです。これは、このような最も一般的な不正オーバーラップから保護されるようデザインされたAndroid6にさえも有効に働くものが存在します。このトロージャンはSMS/MMSフィッシング経由か、悪意のあるポルノサイトを通じて最も頻繁に配信されます。

Marcher

図1.Android Marcherトロージャンを含む不正アプリ


Marcherによる不正行為は、ソーシャルエンジニアリングを使用してユーザーを騙し、そのデバイスを感染させることで知られています。その最も一般的なトリックはバンキングアプリケーション、未発売のゲーム、セキュリテイやフラッシュのアップデートになりすますことです。

分析
Marcherトロージャンは全てよく似ていますが、通常、各バージョンにおいて全体のコードにいくつかの変更が含まれています。例えば、難読化、機密情報の保管、保護技術などは常に更新されますが、主な機能は全てのバージョンで同じです。詐欺者が攻撃を成功させるために必要なモジュールの中で、下記の機能が最も重要です。


・SMS 搾取
・リモートコマンド実行
・USSDコマンド送信
・ロックデバイス
・音声の有効/無効
・SOCKS5 実装
・オーバーラッピング

Marcher
図2.被害者のSMSを捕えるために利用されるコード

バージョン

2016年からのトロージャンの進化をたどることで、そのクリエーターが試みてきた改良を簡単に見ることができます。下記は、この期間に見つかった主な変更の概要をまとめたものです。
・2016年4月:このバージョンは問題のある全てのアプリケーションと、バイナリ内でハードコードされたオーバーラップする不正なコンテンツが含まれていました。このバージョンの重要な特徴の一つは、不正なコンテンツを利用し問題のあるアプリケーションを感染させるため非常に基本的なスキームが使用されていたことです。そのため分析者にとっては、一つの攻撃に関連する全ての異なったフィッシングサイト上で不正トラフックをフィルターにかけ、その情報を抽出することは容易でした。それは攻撃者にとっては実効性が低かったため、攻撃者はすべてのアプリケーションに異なるURLを指定する必要がありました。またそれは、攻撃者の視点から見ると非常に時間がかかるものでした。

Marcher
図3.分析サンプルから問題のあるバンキングアプリケーション


・2017年2月:このMarcherトロージャンには主要なアップデートが含まれていました。詐欺者は実際に攻撃を再構成しながら、攻撃が楽にできることに重点を置いていました。そのために彼らは、正しいパラメータの提供があれば(問題のある各アプリケーションは固有の識別コードを所有していました)感染したスマートフォンに悪質なコンテンツを提供できるAPIを作成することができました。また、彼らは、不正トラフィックを隠すために、SSLプロトコルを使用してボットとサーバー間の通信を暗号化し始めました。

Marcher
図4.分析サンプルから問題のあるバンキングアプリケーション


・2017年6月:最新のMarcherはトロージャンのための絶大なセキュリティのアップデートが含まれています。詐欺者はできる限りの情報を分析者から隠そうとしました。詐欺者たちは、問題のあるアプリケーションリストと関連のある全てのトラフック(それはすでにSSLプロトコルによって保護されていました)を保存するために、非常にシンプルな文字列難読化とAES暗号化アルゴリズムを実装しました。さらに、サンドボックスを避けるために、アンチ仮想化対策とアンチデバッキングのルーティンを追加しました。

Marcher  
図5.Marcherの最後のバージョンで実装されたAES解読アルゴリズム

私たちはMarcharトロージャンの進化から何を学ぶべきでしょうか。私たちが継続的に詐欺対策を改善させているのと同じように、詐欺者もまた常に彼ら自身を守る方法と攻撃を成功に導く方法を探しています。たとえ攻撃が非効率ゆえに不成功に終わったことがわかっても、私たちは攻撃者が単にあきらめたのだと期待するべきではありません。むしろ、それはより強力な戦略と一緒に戻ってくるでしょう。このことを踏まえた積極的な保護戦略なしでは、企業はますます高度化する攻撃の犠牲者になる可能性が高いと言えます。


ユーザーと事業者を保護する方法
・貴社のセキュリティ戦略を補完し、ブランドを模倣した不正なアプリを公式・非公式のストアで積極的に監視することができるソリューションの適用
・デバイスのリスクベースの評価やオーバーレイ攻撃などの悪意のある動作の検出を可能にするためSDKライブラリをモバイルアプリケーションに統合
・Marcher トロージャンで使用されるようなC&Cサーバーを停止する機能を備え、24時間リアルタイムで外部からの脅威監視を提供するベンダーと連携
・モバイルリスクについてユーザーに伝達し、トロイの木馬などの攻撃の原因となるデバイスのルート化を避けるよう促進

Marcherのような攻撃への対策に関しては、当社のDigital Threat Protection及びDetect Safe Browsing Mobile SDKをご覧ください。
マルウェア分析者 Edgar Felipe Duarte Porras Edgar Felipe Duarte Porras

Edgar Felipe Duarte Porras はマルウェア分析者としてサイバー環境で起こっている最新の脅威を検知・分析しています。電子工学を学び、専門はリバースエンジニアリングと機械学習です。イージー・ソリューションズではセキュリティ分析者としての実績もあります。