銀行情報を狙う攻撃が高度化、GrandoreiroとBTMOBに見るフィッシング対策の重要性

この記事のポイント

影響のあるシステム

Windows端末を利用する企業・ユーザー

Android端末を利用する個人・企業ユーザー

スペイン、ポルトガル、メキシコの企業

ブラジルのモバイルユーザー

ポルトガルの銀行・金融機関の利用者

偽のAdobe Reader更新通知、偽のGoogle Play風ページ、ストリーミングサービスや暗号資産マイニングを装うサイトにアクセスするユーザー

推奨される対策

メール内のリンクや添付ファイルを不用意に開かないよう、フィッシング対策を徹底する

Adobe Readerなどのソフトウェア更新は、公式サイトや正規の更新機能からのみ実施する

Androidアプリは原則として正規のGoogle Playから入手し、外部APKのインストールを避ける

Androidのアクセシビリティ権限を要求するアプリは、用途と開発元を慎重に確認する

EDR、メールセキュリティ、DNSフィルタリング、Webフィルタリングなどを組み合わせて多層防御を行う

WebRTCやクラウドストレージなど、通常業務で使われる通信に紛れる不審な挙動を監視する

銀行口座や決済サービスでは多要素認証を有効化し、不審なログインや取引通知を確認する

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

この記事に出てくる専門用語

Grandoreiro：2016年から活動が確認されている銀行系マルウェアです。金融機関に関連する認証情報などを狙うと報告されています。
BTMOB RAT：Android端末を遠隔操作する機能を持つRATです。画面取得、キー入力の記録、認証情報窃取の自動化などの機能が報告されています。
RAT：Remote Access Trojanの略で、感染した端末を外部から操作するために使われる不正プログラムです。
DLLサイドローディング：正規ソフトウェアの動作に見せかけて、不正なDLLファイルを読み込ませる攻撃手法です。
WebRTC：ブラウザやアプリでリアルタイム通信を行うための技術です。Web会議などで広く使われています。
STUN：NAT配下の端末が自分の公開IPアドレスやポートを把握するために使われる通信プロトコルです。
ICE：ネットワーク環境が異なる端末同士で通信経路を確立するための仕組みです。
アクセシビリティサービス：Androidで画面操作や入力補助を行うための機能です。悪用されると、ユーザー操作を代行される可能性があります。
MaaS：Malware-as-a-Serviceの略です。マルウェアをサービスとして販売・提供する形態を指します。
C2：Command and Controlの略です。攻撃者が感染端末へ命令を送るための管理基盤を指します。

金融情報を狙う攻撃がWindowsとAndroidの双方に広がる

今回報告された内容では、Windowsを狙うGrandoreiroと、Androidを狙うBTMOB RATという2つの攻撃が取り上げられています。Grandoreiroは、スペイン、ポルトガル、メキシコの企業を標的にしているとされ、ポルトガルの銀行を狙うキャンペーンではDLLサイドローディングが使われていたと報告されています。一方、BTMOB RATはブラジルのモバイルユーザーを標的にしているとされ、偽サイトや偽のGoogle Play風ページを通じて不正なAPKファイルをインストールさせる流れが確認されています。どちらの攻撃も、単に不正ファイルを実行させるだけでなく、正規サービスや通常の通信に紛れ込む工夫が見られる点が重要です。日本企業にとっても、海外の銀行や地域を狙う攻撃だから無関係とは言い切れません。海外拠点、海外取引、出張者、モバイル端末利用、個人所有端末の業務利用などを通じて、同種の手口に接触する可能性があります。そのため、OSや地域だけでなく、攻撃の入口となるメール、偽サイト、権限要求、通信の異常を横断的に確認する視点が求められます。

Grandoreiroは正規通信に紛れる手口を取り入れている

Grandoreiroは、2016年から活動が確認されている銀行系マルウェアとされ、45の国と地域にわたる多数の金融機関に関連する認証情報を狙う能力があると報告されています。今回のWatchGuardの分析では、ポルトガルの銀行を標的としたキャンペーンで、4種類のソフトウェアを悪用したDLLサイドローディングが使われていたとされています。確認されたDLLの一部はDelphi 11で開発され、WebSocketやWebRTCに関連する通信ライブラリを利用していたと報告されています。また、STUNやICEといった、端末同士の通信経路を確立するための仕組みも利用されていたとされます。これらの通信はWeb会議などの正規用途でも使われるため、表面的な通信先やプロトコルだけでは不審な挙動を見分けにくい可能性があります。別のキャンペーンでは、MediafireにホストされたZIPファイル、難読化されたVisual Basic Script、偽のAdobe Reader更新通知が使われていたとされます。ユーザーに更新ボタンを押させた後、検知回避や解析妨害のための確認を行い、最終的に銀行情報や機密データを盗み取る流れが報告されています。企業側では、メール本文の不審点だけでなく、クラウドストレージ経由のファイル配布、正規ソフトの更新を装う表示、不自然なDLL読み込みなどを組み合わせて監視する必要があります。

BTMOB RATはAndroid端末の権限を悪用するリスクがある

BTMOB RATは、2025年2月に出現したAndroid向けのリモートアクセス型トロイの木馬として説明されています。ESETの報告では、端末のロック解除、スクリーンショットの取得、キー入力の記録、特定アプリの起動時にHTMLインジェクションを使って認証情報を盗む機能、遠隔操作機能などが確認されているとされています。その後のバージョンでは、AlipayのPINを取得する機能も追加されたと報告されています。感染経路としては、ストリーミングサービスや暗号資産マイニングサービスを装った偽サイトへ誘導し、そこから偽のGoogle Play風ページを見せてAPKファイルをインストールさせる手口が説明されています。インストール後はAndroidのアクセシビリティサービス権限を求め、その権限を利用して追加のシステムアクセスを取得する可能性があるとされています。アクセシビリティ機能は本来、利用者の操作を補助するための重要な機能ですが、悪用されると画面操作や入力の代行に近い行為が可能になる場合があります。企業でAndroid端末を利用している場合は、外部APKのインストール制限、業務端末で許可するアプリの管理、アクセシビリティ権限を持つアプリの棚卸しを定期的に行うことが重要です。

マルウェアのサービス化が攻撃の参入障壁を下げている

BTMOB RATについては、マルウェアをサービスとして提供するMaaSの形態で販売されている点も注目されています。ESETは、BTMOBがAPKビルダーのインターフェースとともに販売されており、コードを書かなくても新しいペイロードを生成し、地域に合わせたフィッシング誘導を素早く作成できると説明しています。元記事では、脅威アクター「EVLF」によって月額700ドルで広告されていること、2026年5月1日に共有されたYouTube動画ではライフタイムライセンスが1,200ドル、C2パネルを自前のインフラで運用できる完全なサーバーソースコードが7,000ドルとされていることも紹介されています。さらに、BTMOB RATの開発ツールキットが地下フォーラムやTelegramで流通しているとの報告もあり、模倣犯や技術力の低い攻撃者による悪用リスクが高まる可能性があります。D3Labの2025年12月の分析では、Androidペイロードのソースコード、ドロッパー、ビルダー環境、Windows向けの操作パネル、C2バックエンド、依存ソフトウェアが含まれていたとされています。これは、マルウェア開発者だけでなく、販売、ライセンス管理、顧客向け機能提供までを含むエコシステムが形成されている可能性を示しています。

国内組織が確認すべきポイント

日本の企業が今回の報告から学ぶべき点は、特定のマルウェア名だけを追うのではなく、攻撃の入口と権限悪用の流れを管理することです。Grandoreiroの事例では、フィッシングメール、クラウドストレージ上のZIPファイル、偽のソフトウェア更新通知、DLLサイドローディング、WebRTC関連通信などが組み合わされています。BTMOB RATの事例では、偽サイト、偽のアプリ配布ページ、外部APK、アクセシビリティ権限の悪用が重要な要素です。したがって、PCとスマートフォンを別々に考えるだけでは不十分です。メールセキュリティ、エンドポイント保護、モバイル端末管理、Webフィルタリング、権限管理、利用者教育を組み合わせて、攻撃の各段階で止める設計が必要です。特に、業務用Android端末やBYODを許可している企業では、アプリのインストール元、アクセシビリティ権限、画面共有や遠隔操作に関わる権限を定期的に確認することが重要です。また、ユーザーに対しては「更新通知が出たから押す」「Google Playに見えるから信用する」といった判断を避けるよう周知し、正規の更新手順を明確にしておくことが現実的な対策になります。