Group-IBの研究者らは、犯罪者がAndroid を利用して最新のセキュリティ対策を回避しているとして警告を発している。
クラウドフォンは、実機のフィンガープリント(機種、ハードウェア、IPアドレス、タイムゾーン、センサーデータ、動作特性)を完全に模倣できるAndroid 。これにより、銀行のデバイスベースの不正検知システムを無効化することが可能になります。
当初、電話ファームは実機で構成され、テスト目的で設置されていました。企業が仮想電話をレンタルし、フォロワー数や「いいね!」、シェア数などのエンゲージメント指標を人為的に水増しできることに気づくと、その数は急増しました。さらに、インフラを実機ベースの電話ファームからクラウド電話へと移行したことで、さらなる成長がもたらされました。
ある時点で、サイバー犯罪者たちは、こうした「レンタル携帯」を利用して人々を騙し、銀行口座や暗号資産ウォレットへのアクセス権を共有させ、そこから資金を抜き取る手口を見出した。
銀行はこうした手口に気づき、デバイスのフィンガープリンティング技術を活用したモバイルアプリの開発を開始しました。これにより、ユーザーのアカウントを乗っ取ろうとする偽のデバイスを検知し、ブロックできるようになりました。
しかし、あらゆる軍拡競争と同様に、犯罪者たちはその対策も回避する方法を見出した。彼らは現在、銀行アプリをインストールし、認証情報を登録し、少額の取引を行うことで端末を「予熱」し、口座や端末のテレメトリデータが低リスクに見えるようにしている。
研究者らは次のように指摘している:
「彼らはクラウドフォン――データセンター上でAndroid ――に移行した。実質的には、これらは本物の携帯電話であり、正規のファームウェアを実行し、自然なセンサー動作を示し、有効なハードウェア認証を提供している。」
しかも、犯罪者にとってそれほど大きな投資にはなりません。主要なクラウド電話プラットフォームでは、1時間あたりわずか0.10~0.50ドルで端末のレンタルサービスを提供しており、ほぼ誰でも詐欺のためのインフラを利用できるようになっています。
こうしたデバイスが活用されている分野の一つが、リアルマネー経済を採用したモバイルゲームです。こうしたゲームでは、ゲーム内通貨や資源をボットが大量に獲得する(ファーミング)という特定の問題に、かねてより悩まされてきました。多くの場合、自動化されたアカウントによって、現実世界での価値を持つゲーム内アイテムが生成されてしまうのです。
銀行は別の問題に直面しています。それは、アカウント乗っ取り(ATO)攻撃です。銀行業務がウェブブラウザからモバイルアプリへと移行するにつれ、信頼できる端末を識別するための、より確実かつ包括的な手段が必要となりました。現在、多くの銀行では口座を特定の端末に紐付け、その端末から行われていない送金にはフラグを立てるようになっています。
攻撃の始まりは、やはりソーシャルエンジニアリングです。犯罪者は、ユーザーを騙してワンタイムパスワード(OTP)を教えさせたり、ログインを承認させたり、「安全な口座」への送金を行わせようとします。
その裏側では、犯人はクラウド電話インスタンスにログインする。このインスタンスは、一致する、あるいは信憑性のある指紋情報や事前に設定された動作パターンのおかげで、銀行側からはすでに被害者の端末のように見えている。
犯罪者がシステムに侵入すると、彼らは承認済みプッシュ決済(APP)による送金(多くの場合、マネーミュールの口座宛て)を実行します。端末に明らかな異常が見られないため、銀行のシステムはこれを低リスクな取引として扱う可能性があります。
その時点で、犯罪者たちはあなたの口座から資金を引き出したり、仮想電話番号を他の犯罪者に売り渡したりし始める可能性があります。研究者らによると:
「ダークネット市場では、クラウドフォン上で作成された事前検証済みのドロッパーアカウントが活発に取引されており、RevolutやWiseのアカウントは1つあたり50~200ドルで取引されており、多くの場合、そのクラウドフォンインスタンスへの継続的なアクセス権も含まれている。」
安全に過ごすには
Group-IBの研究者は、エンドユーザーに対し、以下のことを推奨しています:
- 第三者の指示に従ってアカウントの本人確認手続きを行わないでください。銀行や政府機関が、見慣れないアプリや遠隔環境を通じて顧客にアカウントの本人確認を求めることは決してないことをご留意ください。
- 端末ベースのセキュリティ機能を有効にしてください。公式のモバイルバンキングアプリ、生体認証、および強力な端末レベルのセキュリティ設定をご利用ください。
- 銀行口座を悪用した「簡単にお金ができる」という手口には注意してください。銀行口座の「確認」を求める偽の求人、口座確認を求める政府関係者、あるいは「安全な」口座へ資金を移動するよう求める銀行の担当者などです。
- 標的になっている可能性がある場合は、直ちに銀行にご連絡ください。すべてのアカウントでパスワードを変更し、多要素認証を有効にしてください。
以下を追加したいと思います:
- 可能であれば、ログイン、受取人の変更、取引に関する銀行からの通知を有効にし、不審な動きをすぐに把握できるようにしましょう。
- Android端末には、最新のリアルタイム型マルウェア対策ソリューションを導入し、情報窃取型マルウェアを検知・阻止してください。
- メッセージの内容に疑問を感じた場合は、Malwarebytes Guardをご確認ください。これが詐欺かどうかを判断する手助けとなり、適切な対処法も案内してくれます。
私たちは電話セキュリティについて報告するだけでなく、それを提供します。
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐ Malwarebytes foriOS Malwarebytes forAndroidダウンロードして、モバイルデバイスに脅威を持ち込まないようにしましょう。
