一般的にセキュリティが強固だと信じられている2要素認証アプリ。ネットバンキングなど重要なサービスで設定している方も多いのではないか。

だが、意外にも2要素認証アプリのトークンは盗まれてしまう可能性があるという。

バンキングマルウェアに強いサイバーセキュリティ企業、ThreatFabricが、ブログ記事にて新手のトロイの木馬攻撃について明らかにしている。

・RAT機能が追加されたCerberus

2要素認証アプリのトークンを盗む手口は、2020年1月中旬に発見された「Cerberus（ケルベロス）」の亜種によって成し得るという。

Cerberus自体は、2019年6月に再登場したマルウェア「Anubis（アヌビス）」の流れを汲んでいる。アンドロイド端末で動作し、感染したデバイスから個人を特定できる情報（PII）を抽出。これに端末のリモート操作を可能にする「RAT機能」が追加されたのが今回出てきたバージョンだ。

このRAT機能により、デバイスのファイルシステムを走査し、ファイルのダウンロードができる。さらには、リモートデスクトップアプリ「TeamViewer」を立ち上げた状態をつくることができ、攻撃者に端末へのリモートアクセスを許してしまう。

・PINコードも盗み取る

リモートアクセスができれば、デバイスの設定変更からアプリのインストール/アンインストールも可能。最もやっかいなのがバンキングアプリやメッセージングアプリなどへのアクセスだろう。

端末のユーザーがデバイスを使用していないときにリモートで画面ロックを解除。このとき利用するPINコードや画面スワイプパターンは、新たに追加された機能により、あらかじめ知ることができるという。

アプリ経由でデータをC2サーバーに送信でき、これによりワンタイムパスワードも推測可能。Googleの2段階認証アプリからトークンを盗み取ることもできてしまう。

同マルウェアは、現時点ではまだ利用された形跡はないが、いつ利用されてもおかしくないとのこと。端末のおかしな挙動には気を付け、できる限り物理セキュリティキーや顔認証による画面ロック解除を利用したい。

参照元：2020 - Year of the RAT/ ThreatFabric Blog