TrickMoマルウェア、偽のロック画面でAndroid PINを盗む手口が明らかに

TrickMoと呼ばれるAndroid向けのバンキングトロイの木馬が、新たに40種類以上の亜種を展開し、ユーザーのPINを盗む手口が発見された。

このマルウェアは偽のロック画面を表示し、ユーザーがPINを入力するとそれを外部のサーバーに送信する仕組みを持つ。さらに、13,000人以上の被害者が特定され、その多くはカナダやUAE、トルコ、ドイツに集中している。

感染は主にフィッシングによるもので、適切なセキュリティ対策がなければ、さらに多くのデバイスが脅威にさらされる可能性がある。

TrickMoの新たな脅威：偽ロック画面によるPINの窃取
マルウェアの進化：銀行以外のプラットフォームも標的に
被害者は13,000人以上、特にカナダ・UAE・トルコ・ドイツが多発
防御策：感染を防ぐための実践的な対策

TrickMoの新たな脅威：偽ロック画面によるPINの窃取

TrickMoは、Android端末を標的とする新たなバンキングトロイの木馬である。特に注目されているのは、偽のロック画面を使用してユーザーのPINを盗む手口だ。この偽のロック画面は、正規のAndroidロック画面に酷似しており、ユーザーが不審に思わずPINを入力してしまう危険がある。

このマルウェアは、アクセス権限を不正に取得し、PINやパターンロックの情報を盗むことができる。ユーザーが入力した情報は、外部サーバーに送信され、攻撃者は端末を遠隔で制御することが可能となる。特に深夜など、端末が使用されていない時間帯に不正な活動を行うケースが報告されている。

TrickMoは2020年にIBMのセキュリティチームによって初めて発見されたが、その活動は2019年から確認されている。今回発見された新たなバージョンでは、機能がさらに強化されており、特にPINの窃取に特化したものとなっている。これにより、銀行口座だけでなく、ユーザーの個人情報や端末自体が危険にさらされる状況が続いている。

マルウェアの進化：銀行以外のプラットフォームも標的に

TrickMoは当初、主に銀行アプリや金融機関の認証情報を盗むことを目的としたトロイの木馬であった。しかし、最近のバージョンでは、VPNやストリーミングサービス、ECサイト、ソーシャルメディアなど、幅広いプラットフォームも標的に含まれていることが判明している。このことにより、被害が銀行口座にとどまらず、他のオンラインサービスにも波及する可能性がある。

攻撃手法は進化を遂げており、特にフィッシングメールやメッセージを通じて、ユーザーに悪意あるAPKファイルをダウンロードさせる手口が増加している。これらのファイルをインストールすると、TrickMoが端末に侵入し、ユーザーのアカウント情報やパスワードを収集する。

さらに、TrickMoは一度感染すると、画面の録画機能やリモート操作機能を悪用して、端末の全データを攻撃者の手に渡すことが可能である。このような機能拡張により、個人のプライバシーやセキュリティに対するリスクはますます高まっている。銀行口座情報以外にも、VPNやクラウドストレージ、電子商取引サイトなどへのアクセス情報が盗まれることで、被害が多岐にわたることが懸念される。

被害者は13,000人以上、特にカナダ・UAE・トルコ・ドイツが多発

TrickMoの最新の調査結果によると、被害者の数は13,000人を超えており、その被害はカナダ、アラブ首長国連邦、トルコ、ドイツなどで特に多発していることが明らかになっている。この被害者数は、攻撃者が利用する複数のコマンド&コントロール（C2）サーバーの一部を調査した結果であり、実際の被害者数はさらに多いと推定される。

Zimperiumの分析によると、TrickMoは感染した端末から定期的に認証情報やPINなどのデータをC2サーバーに送信し、これらのデータがサーバー上で定期的に更新されている。特に、誤って設定されたC2インフラにより、多くの被害者データがサイバー犯罪者に広く共有されるリスクが高まっているという。

被害者の多くは、フィッシングメールやメッセージに引っかかり、悪意のあるリンクをクリックしてTrickMoをインストールしてしまった可能性が高い。これにより、端末が感染し、不正な取引や情報の盗難が発生している。特に銀行口座にアクセスするためのPINやパスワードが盗まれることで、金融被害が拡大しているとされる。

防御策：感染を防ぐための実践的な対策

TrickMoによる感染を防ぐためには、まず不審なリンクやファイルを開かないことが重要である。特に、SMSやメッセージアプリを通じて送られてくるURLには注意が必要だ。これらのリンクから直接APKファイルをダウンロードすることで、端末がマルウェアに感染するリスクが高まる。

また、Google Play Protectを有効にすることが推奨されている。Google Play Protectは、既知のTrickMoのバージョンを特定し、端末から削除することができるため、定期的なアップデートとセキュリティチェックが必要である。さらに、アプリのインストール時にはアクセス権限の確認を徹底し、不必要な権限を求めるアプリには警戒を怠らないことが大切だ。

もう一つの重要な防御策は、正規のアプリストアからのみアプリをダウンロードすることである。サードパーティのストアや不明なソースからアプリをインストールすることは、マルウェア感染のリスクを高める。また、銀行アプリや金融取引アプリを利用する際は、二要素認証を導入し、さらなるセキュリティ強化を図ることが推奨される。