🛡 概要
新たなAndroidバンキング型マルウェア「Sturnus」は、Signal・WhatsApp・Telegramなどのエンドツーエンド暗号化メッセージを、復号後の画面上から読み取り盗み出します。さらに、アクセシビリティ機能の悪用とデバイス管理者権限の取得、VNC相当の遠隔操作により実質的な端末の完全制御を可能にします。欧州の複数金融機関を狙う地域別オーバーレイを搭載し、C2との通信には平文/HTTPS/RSA/AESの混在を用います。既知のOS脆弱性(CVE)悪用は確認されておらず、CVSS評価対象ではありません。
🔍 技術詳細
侵入は、Google Chromeや「Preemix Box」を偽装した不正APKのサイドロードから開始されます(拡散経路は未特定だが、マルバタイジングやDMが疑われる)。インストール後、端末は暗号学的なやり取りでC2へ登録し、指令・データ送受信用にHTTPSチャネル、遠隔操作用にAES暗号化したWebSocketチャネル(実質VNC)を確立します。Sturnusはアクセシビリティサービス権限を要求し、画面上テキストの読み取り、UI構造の把握、アプリ起動検知、ボタン押下・スクロール・テキスト挿入などの操作自動化を実行します。これにより、E2EE通信をネットワークで解読せずとも、復号後に画面へ表示された内容(連絡先、スレッド、送受信メッセージ)をリアルタイムに収集できます。さらに、HTMLベースの銀行ログイン用オーバーレイで認証情報を窃取し、黒いフェイク画面(例:偽のAndroidシステムアップデート画面)を重ねて背後で送金や設定変更、MFA承認などの操作を隠蔽します。持続化と防御回避として、Androidデバイス管理者(Device Administrator)権限を取得し、アンインストールや権限剥奪を妨害(ADBからの削除も阻止)します。通信はRSA/AESを組み合わせ、操作系はAES暗号化WebSocketで低遅延の遠隔制御を実現します。現時点ではテスト配備段階とみられるものの、機能は実用的でスケール可能な設計です。
⚠ 影響
- 機密性の喪失:Signal/WhatsApp/Telegramなどのメッセージ内容・連絡先が端末側で流出。
- 金銭的被害:バンキングアプリのオーバーレイ詐取や遠隔操作による不正送金・MFA承認。
- 業務停止:端末ロック、設定改変、管理者権限による除去困難化。
- 法令順守リスク:個人情報保護規制(GDPR等)の違反リスク増大。
🛠 対策
- エンドユーザー:公式Google Play以外からのAPK導入禁止、Play Protect有効化、不要なアクセシビリティ権限不許可、定期的な「デバイス管理アプリ」確認と不要な管理者権限の解除。
- 企業(Android Enterprise):未知のアプリインストール禁止(Managed Google Playのみ許可)、アクセシビリティ権限の許可リスト運用、SYSTEM_ALERT_WINDOW(他アプリ上に重ねて表示)の制御、デバイス管理者の取得・保持を監査し違反時は自動隔離。
- MTD/EDR導入:アクセシビリティ乱用・オーバーレイ・遠隔操作挙動・不審なwss/HTTPS通信の検知とブロック。
- インシデント対応:安全モード起動→管理者権限の手動剥奪→アンインストール→MDMで端末コンプライアンス再評価→認証情報リセット(銀行・メッセージング・MFA)。
- セキュリティ教育:サイドロード警戒、権限要求のリスク理解、偽更新画面や偽ログイン画面の識別。
📌 SOC視点
- 権限・設定監査:BIND_ACCESSIBILITY_SERVICE要求、ACCESSIBILITY有効化イベント、SYSTEM_ALERT_WINDOW要求、REQUEST_INSTALL_PACKAGES、DevicePolicyManagerによる管理者権限追加(android.app.action.ADD_DEVICE_ADMIN)。
- ネットワーク:未知ホストへの継続的HTTPS、AES暗号化wss(WebSocket)通信の発生頻度・滞留時間・時間帯偏りの検知(モバイルプロキシ/ゼロトラスト経由での観測)。
- 挙動:画面フォーカス変更・TYPE_WINDOW_CONTENT_CHANGEDの高頻度発生、UI自動操作(連続タップ/スクロール)、ブラックアウト/偽更新画面表示中の裏操作。
- MTD連携:オーバーレイ・アクセシビリティ乱用・管理者権限保有の組み合わせ検知で高リスクスコア化し自動隔離。
- ハンティング例:直近にインストールされた非Play署名アプリで、上記3要素(Accessibility+Overlay+Device Admin)を同時に満たすものを優先調査。
📈 MITRE ATT&CK
- Initial Access(初期侵入):不正APKのサイドロード/ソーシャルエンジニアリング(偽Chrome/アプリ)。根拠:配布は外部APKで開始。
- Execution(実行)/Privilege Abuse:アクセシビリティ機能の悪用でUI操作自動化。根拠:ボタン押下・スクロール・テキスト挿入。
- Persistence(持続化):デバイス管理者権限の取得とアンインストール妨害。根拠:ADBも含め削除阻止。
- Defense Evasion(防御回避):黒画面オーバーレイで操作隠蔽、権限剥奪妨害。根拠:偽更新画面で裏処理。
- Credential Access(認証情報窃取):銀行用HTMLオーバーレイで資格情報入力を誘導。根拠:地域別テンプレート。
- Collection(収集):画面上テキスト・会話内容・入力の取得。根拠:E2EEを端末側で回避。
- Command and Control(C2):HTTPS指令チャネル+AES暗号化WebSocketによるリアルタイム制御。根拠:VNC相当の操作路。
- Exfiltration(流出):暗号化チャネル経由でメッセージや認証情報を送出。根拠:C2登録後の継続送信。
🏢 組織規模別助言
- 〜50名:MDM/MTDを簡易導入(Android Enterpriseの基本ポリシー適用)、未知ソースからのインストール禁止、アクセシビリティ許可リストのみ。
- 50〜500名:Managed Google Playで配布統制、MTDをSIEM連携、オーバーレイ+Accessibility+Device Adminの複合検知ルール、インシデント手順書の整備と演習。
- 500名以上:ゼロトラスト(ZTNA)経由でモバイル通信可視化、SOARで自動隔離・権限剥奪・強制再プロビジョニング、銀行系・メッセージング系アプリのハイリスク権限監査を継続。
🔎 類似事例
- SharkBot:オーバーレイとATS(自動トランザクション盗み)機能を備えるAndroidバンキング型。
- Xenomorph:アクセシビリティ悪用と広範な金融機関テンプレート。
- Cerberus/Octo:キーロギングや遠隔操作機能を含む派生系。
- FluBot:SMS経由拡散とオーバーレイ詐取で大規模感染。
- Hook:VNC相当の遠隔操作を謳う後継系。
🧭 次の一手
まず、組織のAndroid端末で「アクセシビリティ権限の許可リスト化」「未知ソースインストール禁止」が徹底されているかを監査してください。次に、MTD/EDRでオーバーレイ・Device Admin・wss通信の複合検知ルールを整備し、SOARで自動隔離までつなげます。最後に、銀行系/MFA/メッセージングアプリの利用端末を重点監視対象化し、誤承認防止の教育を実施しましょう。
