Androidバンキングマルウェア「TrickMo」の新亜種が、通信の隠蔽手段としてブロックチェーン技術を採用したことが、セキュリティ企業ThreatFabricの調査で明らかになった。これまでのマルウェア対策の定石だった「悪性ドメインを遮断する」手法が、ほぼ効力を失いかねない構造的な変化だ。

TONブロックチェーンをC2に使うとどういう意味か

今回注目されているのは、攻撃者との通信に「TON(The Open Network)」を使っている点だ。TONはTelegramを起源とする分散型P2Pネットワークで、通常のDNSを使わずに暗号化されたオーバーレイネットワーク上で通信を行う。

従来のマルウェアはドメイン名やIPアドレスを使ってC2(コマンド&コントロール)サーバーと通信するため、悪性ドメインをブロックすれば通信を遮断できた。しかしTONを経由する場合、エンドポイントは256ビット識別子(.ADNL アドレス)となり、公開DNSを経由しない。ネットワーク端でキャプチャされるのは「TONの通信」だけで、正規のTON対応アプリと外見上まったく区別できない。

ThreatFabricは「従来のドメインテイクダウンは大部分が無効化される」と明言している。これはマルウェア対策において重大なパラダイムシフトを意味する。

Trickmo.Cの具体的な機能

この最新亜種はTikTokやストリーミングアプリを装い、フランス・イタリア・オーストリアのユーザーを主な標的としている。基本的な機能は従来通りで、フィッシングオーバーレイによる認証情報窃取、キーロギング、画面録画・ライブ配信、SMS傍受、OTP通知の抑制などが含まれる。

加えて今回の亜種では以下のコマンドが追加されている:

  • ネットワーク診断系curldnsLookuppingtelnettraceroute
  • トンネリング・プロキシ系:SSHトンネリング、リモート/ローカルポートフォワーディング、認証付きSOCKS5プロキシ

SSHトンネリングとSOCKS5プロキシの組み合わせは、感染端末を「踏み台」として内部ネットワークへ侵入する経路として機能しうる。企業端末が感染した場合のリスクは個人端末の比ではない。

またNFCパーミッションを大量に宣言しているが、現時点では実際のNFC機能は未実装とのこと。将来のアップデートで非接触決済の傍受・リレー攻撃に発展する可能性を視野に入れておく必要がある。

実務への影響:日本のエンジニア・IT管理者にとっての意味

エンドユーザー向けの基本対策は従来通りだ。Google Playからのみアプリをインストールし、Google Play Protectを常時有効にし、TikTokを装った非公式APKなどに引っかからないこと。ただし「Google Play以外は入れない」をポリシーとして徹底している組織でも、今回のような亜種は公式ストアに潜り込んでくるケースもある。定期的な端末審査は欠かせない。

企業のMDM・MAM運用担当者は以下を見直してほしい:

  • SOCKSプロキシやSSHクライアント機能を持つ不審アプリの検知ルールを追加する。ネットワーク診断ツールとしての顔を持つマルウェアは、既存のシグネチャで引っかからないことが多い
  • 企業端末からTON関連トラフィックが出ていないかをネットワーク監視で確認する。正規のTONアプリを業務用途で使う理由が思い当たらなければ、トラフィック自体を制限する判断も合理的だ
  • フィッシングオーバーレイ対策として、銀行・証券・仮想通貨取引所アプリは承認済みリストを作り、それ以外のアプリからのオーバーレイ表示をOS設定でブロックする(Android 12以降はアクセシビリティ機能の制限が可能)
  • SSH・ポートフォワーディングが内部ネットワークへの侵入経路になりうることを念頭に、モバイル端末からの内部ネットワークアクセスをゼロトラストで制御できているか確認する

筆者の見解

正直に言えば、このニュースの「技術的な面白さ」と「やっかいさ」は同居している。

TONを悪用したC2は、ブロックチェーンの分散性と匿名性をそのまま兵器化した形だ。「ドメインを押さえれば終わり」という時代の終わりを象徴している。今後、同様の手口はTONに限らず他の分散型ネットワークにも波及するだろう。すでにIPFS(InterPlanetary File System)を使ったマルウェア配布は観測されており、分散インフラの悪用はトレンドとして定着しつつある。

ここで改めて強調したいのが、ネットワーク境界での遮断に依存したセキュリティモデルの限界だ。「このドメインは悪い、これはホワイトリスト」という運用では、暗号化された分散トラフィックには太刀打ちできない。認証・認可・端末状態を組み合わせた多層防御、そして「デバイスを一切信頼しない」前提に立った構成が、改めて現実解として浮かび上がってくる。

Androidバンキングマルウェアという文脈でありながら、その含意はモバイルセキュリティを超えて企業全体のアーキテクチャ設計に及ぶ。踏み台・SOCKSプロキシ・内部ポートフォワーディングの組み合わせは、「感染したスマートフォンが社内ネットワークへの侵入口になる」シナリオを現実のものにする。モバイルを「外のもの」として軽く見ている企業には、ちょうどいい警鐘になるはずだ。

出典: この記事は TrickMo Android banker adopts TON blockchain for covert comms の内容をもとに、筆者の見解を加えて独自に執筆したものです。