SMSの2要素認証も突破!? 解析困難なマルウェアが東アジアで蔓延

　セキュリティ研究企業のCheck Point Researchによると、このところユーザーの資格情報に加え2要素認証(2FA)コードまで盗み取ってしまうマルウェア「FluHorse」が、東アジアを中心に蔓延しているといい、警鐘を鳴らしている。

　FluHorseの特徴は、カスタム実装ではなくオープンソースのフレームワークを使っている点で、その一部はKotlin、Flutterで構成されている。特にFlutterのカスタム仮想マシンを利用することで、マルウェアの構造の解析を困難にさせているという。

　ただ、FluHorseの挙動自体は単純だ。まずはターゲットにフィッシング電子メールを送信し、正規アプリに装った偽装アプリを端末にダウンロードさせる。偽装アプリは正規アプリの画面のコピーで、ユーザーの認証情報を入力すればそれをそのまま盗む。現在、ベトナムの銀行や台湾の交通料金支払いアプリ、出会い系アプリで悪用が確認されている。

　そしてSMSによる2要素認証(2FA)になった段階で「データを処理しています」といった画面を表示し、ユーザーに数分間待つよう指示する。その間にSMSを傍受し、着信SMSトラフィック(つまり2要素認証のコード)を、悪意のあるサーバーに転送する仕組みだ。

　こうした機能部分が至極単純であるにもかかわらず、FluHorseが厄介とされているのは、冒頭で述べた通り、分析を難しくさせるFlutterを使って開発されているため。Check Point Researchはリリースの中で「理想主義者は人類の進歩を願って新しい技術を発明し、現実主義者はこの発明を日常にニーズへと適応させる。しかし邪悪な心を持つものは予期せず、予測不可能な方法でそれらを悪用する」と述べている。

アプリの仕組み。ユーザーに認証情報を入力させそれを盗み、さらに本物の認証サーバーから送られてくるSMSメッセージの2要素認証コードを傍受して送信する

偽装が確認されたアプリの例

偽装アプリの例