Androidのモバイルバンキングアプリを狙うマルウェア「Godfather」に関するスレッド。 アプリを仮想化コンテナに配置し、ユーザーが本物と信じて操作するように仕向け、情報を盗む手口。 対策として、怪しいアプリをインストールしない、不明なソースからのインストールを許可しない、などが挙げられている。
-
1:以下、名無しがお送りします
モバイルバンキング利用者注意 「Godfather」マルウェアが公式銀行アプリをハイジャック中 https://www.techradar.com
-
4:以下、名無しがお送りします
なんか見逃した? どうやって銀行からDLしたアプリを乗っ取るんだ? ユーザーが何かする必要があるんだろ?
-
19:以下、名無しがお送りします
-
25:以下、名無しがお送りします
>>4 画面読み取りとか、全権限を許可する必要がある 要は「ユーザー補助」の権限が欲しいんだよな これが全ての始まり その前に、マルウェアアプリをサイドロードする必要があるけどな
-
30:名無しのA
>>4 そうそう、怪しいアプリ入れたり、騙されてインストールさせられたり(読まずにOKしちゃうランダムなポップアップとか)
-
7:以下、名無しがお送りします
>>4 Godfatherに晒されるだけでアウト トロイの木馬がインストール済みの銀行アプリをハイジャックして仮想化コンテナに入れる 起動するとGodfatherが起動して、そのVM内でアプリが動く Godfatherに晒されるのは他のマルウェアと同じ
-
16:名無しのA
>>7 Godfatherに晒されるのは他のマルウェアと同じってことは、怪しいサイトからアプリ入れたり、インストール警告無視したりってことか 了解
-
8:以下、名無しがお送りします
>>7 マジかよ、クソ怖いんですけど 😨😨
-
14:以下、名無しがお送りします
>>8 変なもんスマホに落とすなって
-
15:以下、名無しがお送りします
>>14 Playストア以外からアプリ落とすなって もっと言えば、広告まみれの無料ゲームとか、スマホの全権限要求するようなのはヤメロ
-
31:以下、名無しがお送りします
転載記事 ソースはここ https://www.infosecurity-magazine.com
-
36:以下、名無しがお送りします
>>31 TechRadarマジクソ ページ離れようとバックボタン押したら「おすすめ記事」ポップアップ出てきて、閉じたら前のページに戻る
-
37:名無しのD
>>31 ほんとのソース https://zimperium.com
-
45:以下、名無しがお送りします
記事読んだけど、今はトルコ限定で、不明なソースからのインストールを許可してる奴だけが感染する それオフにしときゃ安全
-
46:名無しのB
>>45 でも、不明なソースから何かインストールするときって、普通に確認画面出るよね? ポップアップで許可しなきゃインストールされないんじゃないの?
-
52:名無しのC
>>46 そう、ちゃんと読んで、考えなしにインストールとか許可ボタン押さなきゃ安全 あと、お年寄りにはGoogleのAdvanced Protection Program登録させとけ サイドローディングがマジで面倒になるから 考える前にクリックしちゃうからな
-
54:名無しのB
>>52 Playプロテクトのこと? なんか別のプログラム? Playプロテクトはデフォルトで有効だと思ってたんだけど、いつも無効にしてるわ
-
59:名無しのC
>>54 https://landing.google.com はPlayプロテクト以上のもの オンにすると: * Googleアカウントに二段階認証強制 * Chromeのセーフブラウジング拡張保護をデフォルトで有効 * 全端末でGoogle Playプロテクトを強制有効 * 端末内でのサイドローディングを防止 (adb install は有効) * 不明なサードパーティアプリによるGoogleアカウントへのアクセスを、最も基本的なプロファイル情報のみに制限 https://developer.android.com と混同しないように Android 16で導入された別の機能で、有効にした特定のデバイスにのみ適用されるけど、上記のAndroid固有の処理に加えて、いくつかの追加機能がある
-
62:名無しのB
>>59 ありがとうございます
-
67:以下、名無しがお送りします
ざまあみろ 俺の信金、年に一回しかアプリ更新しねーからな
-
76:以下、名無しがお送りします
うちの銀行アプリ、3ヶ月ごとにPIN変えろってうるさいし、開発者向けオプションがオンになってると文句言うし、気に入らないアプリが入ってると動かなくなるのもある(AnyDesk入れたら口座凍結されて電話かかってきて、アンインストールしろって言われた) なのに、こういうのは検知できないのかよ
-
85:以下、名無しがお送りします
>>76 そうなんだよな root化してるだけでブロックするとかマジ意味不明 こういうのが起こりうるのに
-
92:以下、名無しがお送りします
>>76 俺の使ってる銀行アプリ、ログイン画面のパスワード入力がアプリ内キーボード限定になった 記号とか入力しづらくてマジ苦痛 パスワードマネージャーも使えなくなるし
-
131:以下、名無しがお送りします
>>76 この前、ギフトカードウォレットアプリが、USBデバッグ有効にしてるだけでキレて強制終了した 「モバイルが侵害されました - ADBが有効」って 侵害って大げさすぎ USBデバッグは自分で有効にしたし、普段使ってない ほとんどの場合何もしてない
-
101:以下、名無しがお送りします
>>76 銀行アプリはどうやって検知するんだ? 無理じゃね?
-
108:以下、名無しがお送りします
>>101 仮想環境使ってるとBANされるゲームもあるぞ
-
111:以下、名無しがお送りします
>>108 カーネルレベルのパッチで検知してるんじゃないの?
-
113:以下、名無しがお送りします
>>111 Windowsだけだろ
-
115:以下、名無しがお送りします
>>101 Android 11以降は制限されてるけど、「QUERY_ALL_PACKAGES」ってのがあって、マニフェストでちゃんと宣言してGoogle Playにリクエストすれば許可される 銀行アプリは大抵許可される うちの銀行アプリ3つとも、なんか「保護」モードがあって、有効にすると危険なアプリ入れたら警告してくれる 面白いことに、MIUI/HyperOSとか中華ROMは、Googleが許可してもクエリをブロックする 安全のためじゃなくて、銀行アプリがバックグラウンドサービスを危険だと警告するから つまり、銀行アプリはインストールしてるもの全部知ってる 開発者向けオプションとか、adbデーモンとかもチェックしてる 銀行アプリだけじゃなくて、保険とか医療とか政府系のアプリも簡単に許可される 機密データ扱うから保護のために必要だって で、ほとんどのアプリが起動後3秒で600回くらいネットワーク接続して、どこに繋がってるか分からん
-
124:以下、名無しがお送りします
>>115 アプリがそんなことするからroot化する人がいるんだよ
-
138:以下、名無しがお送りします
マルウェアがどうやってインストールされるのか、実行中の様子を動画で見せてくれると助かる
-
142:名無しのD
>>138 マルウェアのインストール方法のほとんどは...ユーザーのエラー/無能 銀行アプリの仮想コピーを作成する
-
150:名無しのE
>>138 ソース: https://zimperium.com スクリーンショットがある 銀行アプリを仮想化/ハイジャックする技術的な側面は面白いけど、「感染」する方法は「バカになるな」って話 不明/不要なAPKをインストールする必要がある それから、アクセシビリティ権限をたくさん付与する必要がある(「このアプリはスマホで何でもできるぞ、気をつけろ」って警告される) どっかで見つけた音楽プレーヤーのAPKにそんな権限を与えるのはバカげてる
-
157:以下、名無しがお送りします
断れないAPKを渡されたんだ...
-
160:以下、名無しがお送りします
Androidだけ? 他のOSは?
-
163:名無しのF
政府発行のPINサービスとか、IDカード/セキュアSIMでの認証がある 他の国はどうやって銀行振込を認証してるんだ? 単純なパスワード?
-
173:名無しのE
>>163 ベルギーには、政府サービス用の公式2要素認証アプリがある 電話番号とIDカードを使って一度設定する必要がある それかカードリーダーを使って、銀行アプリのインスタンスを銀行振込用に登録する それが終われば、簡単なPINや指紋で認証できる 一定額以上だと、別の2要素認証アプリでの承認が必要になる
-
180:以下、名無しがお送りします
>>163 うん、単純なパスワードとSMS/電話での2FA 安全じゃないのは分かってるけど、カナダの銀行(少なくとも俺の)は気にしてないみたい
-
185:名無しのF
>>180 政府IDログインを始めるのは難しいのは分かるけど、Apple/Googleにはパスキーがあるのに、なんでそれを使わないんだ?
-
193:以下、名無しがお送りします
怖いけど、技術ってマジすげえ 遠隔で色々操作できるなんて……
-
203:以下、名無しがお送りします
ひどいな
-
213:以下、名無しがお送りします
二次認証してたら、これも防げるのか誰か知ってる?