ノートアプリを“収穫場”に変える新型AndroidバンキングMal「Perseus」—アクセシビリティ悪用×リアルタイム乗っ取りの次の一手です

今日の深掘りポイント

• 従来のバンキング系が狙う“銀行アプリ”から一歩先へ。PerseusはGoogle KeepやEvernoteなどのノートアプリを監視し、種フレーズやバックアップコードといった高価値データを直接刈り取る設計です。これにより「認証情報そのものが守られていても、復旧経路から破られる」リスクが一段上がります。
• コード系譜はCerberus/Phoenix直系。すなわち、オーバーレイ、アクセシビリティ悪用、デバイスのリアルタイム操作といった長年洗練されたTTPを、配布と運用の土台ごと“再利用”して短期に拡散できる素地があります。
• 既にトルコ/イタリアで観測され、フィッシング経由で感染させる手口が報告されています。広域展開への移行障壁が低いことから、早期のMDM/MTD側ハードブロック（未知提供元の禁止、アクセシビリティ/オーバーレイの許可制）と、ノートに秘密情報を置かない運用ルールの徹底が要諦です。
• 現場目線では「新規性は中程度、実害化の即時性と確度は高い」タイプです。既存の検知・統制で多くを抑えられる一方、ノート由来の漏えいという盲点を突かれると被害額が跳ね上がるため、優先度高での是正が必要です。

はじめに

新たなAndroid向けバンキングマルウェア「Perseus」が報告されています。CerberusやPhoenixのコードを継承し、フィッシングサイト経由で配布、アクセシビリティサービスを悪用してオーバーレイ攻撃やリアルタイム操作を実現し、金融アプリや暗号資産関連サービスの認証情報を盗むとされています。特筆すべきは、Google KeepやEvernoteなどのノートアプリを監視し、高価値情報を抽出する機能に注力している点です。観測は主にトルコとイタリアで報告されていますが、設計思想から見て地域拡大は時間の問題とみるべきです。公開情報は以下にまとまっています。

• 参考: The Hacker News: New Perseus Android Banking Malware Targets Note-Taking Apps to Steal Sensitive Data

以降は、現時点の公開情報を土台に、CISO/SOC/Threat Intelの視点で運用に落とせる論点を深掘りします。未確定部分は仮説であることを明示します。

深掘り詳細

事実整理（公開情報）

• 配布はフィッシングサイト経由で、ユーザーにアプリをインストールさせる流れです。
• Cerberus/Phoenixの系譜を継ぎ、アクセシビリティサービスを悪用して権限を拡張、オーバーレイで入力を奪取し、デバイスをリアルタイム操作します。
• ノートアプリ（Google Keep/Evernote）が監視対象で、高価値の個人・金融情報の抽出に特化しています。
• 主にトルコ/イタリアがターゲットとして報じられています。
  出典: The Hacker Newsの当該記事

インサイト（編集部の視点）

• ノートは「機密の最後の置き場」になりがちです。パスワードマネージャや銀行アプリは強化されてきましたが、回復フレーズ、ワンタイム/バックアップコード、本人確認情報（口座・身分証番号のメモ）などはノートに流れやすいです。Perseusはこの“習慣”を攻撃面に変換しており、対策の重点がズレている組織ほど被害が大きくなります。
• Cerberus/Phoenix直系という系譜は、配布・運用の“オペレーティングモデル”まで流用されやすいことを意味します。アフィリエイト運用や地理別のオーバーレイテンプレート投入、リモート操作による即時詐欺といった成熟パターンが、短期間で再現される可能性が高いです。
• メトリクス（即時性・行動可能性・確度が高い一方、ポジティビティが低い）からは、ゼロデイの“技術ショック”案件ではなく、既知TTPの再結合で「すぐ動く必要がある」案件と読みます。すなわち、未導入の統制（アクセシビリティ許可制、未知ソース禁止、オーバーレイ制限）を最短で埋めに行くのが戦略として合理的です。
• 企業リスクは二重です。個人資産の流出だけでなく、BYOD上のノートに社内機密（会議URL、VPN共有秘密、回復コード）が入っている場合、クラウド連携を介して業務資産へ“横流れ”する温床になります。モバイルDLPというより、ストレージの衛生管理と回復経路の無害化（FIDO2/パスキー化）に舵を切るべき局面です。

脅威シナリオと影響

以下は公開情報と既知のモバイル攻撃手法からの仮説ベースのシナリオです。MITRE ATT&CK for Mobileの戦術に沿って整理します（テクニックIDは仮説のため割愛します）。

• 初期侵入（Initial Access）

  • フィッシング経由のサイドロード誘導です。SMS/メッセージ/メール/偽広告から不正APK配布サイトへ誘導し、提供元不明アプリのインストールを促す想定です（仮説）です。

• 実行・権限昇格・防御回避（Execution/Privilege Escalation/Defense Evasion）

  • アクセシビリティサービスの悪用により、タップの代行、画面遷移、許可ダイアログの自動承諾、通知読み取りなどを実現します。
  • 「他のアプリの上に重ねて表示」（オーバーレイ）権限を要求し、正規アプリに似せた画面で資格情報を収集します。
  • Play Protectやバッテリー最適化回避の設定変更を誘導し、常駐性を高める可能性があります（仮説）です。

• 資格情報アクセス/収集（Credential Access/Collection）

  • 銀行・暗号資産アプリのオーバーレイでID/パス/2FAコードを採取します。
  • ノートアプリのUIテキストをアクセシビリティ経由で監視し、回復フレーズやバックアップコード、個人識別情報を抽出します。
  • クリップボード/通知の読み取りも併用する可能性があります（仮説）です。

• コマンド&コントロール/リアルタイム操作（C2/Remote Control）

  • C2と常時通信し、攻撃者がリアルタイムに端末を“操作代行”して不正送金や暗号資産送付を完了させる運用が想定されます。アカウントの安全確認・追加認証プロンプトも操作で突破し得ます（仮説）です。

• 影響（Impact）

  • 銀行口座/決済/暗号資産の即時窃取、アカウント乗っ取り、回復フレーズ流出による資産全損が主影響です。
  • 企業では、ノートに格納された会議URLや復旧コード、社内SaaSのバックアップコード流出を介した二次侵害が懸念されます。

地域ターゲティング（トルコ/イタリア）からは、オーバーレイ文言・銀行リストのローカライズと、詐欺コールセンターの言語オペレーションが背景にあると推測します。越境展開はオーバーレイテンプレートと誘導スクリプトの差し替えで短期に実現し得るため、日本市場の金融アプリ/暗号資産サービスも備えを前倒しする価値が高いです。

セキュリティ担当者のアクション

優先度順に、既存の統制で塞げるところから“即日”で動かすことを勧めます。

• Android Enterprise/MDMの強制ポリシー

  • 提供元不明アプリのインストール禁止（ブラウザ/メッセージングアプリからのAPK sideload遮断）を必須化します。
  • アクセシビリティサービスは業務上必要なアプリのみ許可リスト方式にします。新規要求は承認フロー必須とし、検知時は自動的に業務アプリの高リスク操作（送金/設定変更）をブロックします。
  • 「他のアプリの上に重ねて表示」（オーバーレイ）権限は原則禁止、必要アプリのみ許可リスト化します。
  • Play Protectの有効化とユーザーによる無効化禁止、USBデバッグ無効、開発者オプション無効、最新セキュリティパッチの遵守を強制します。
  • BYODは業務用プロファイルを標準とし、個人領域とのクリップボード/ファイル共有を制限します。業務用プロファイルではスクリーンショット禁止も検討します。

• MTD/EDRでの検知・封じ込め

  • アクセシビリティサービスの新規有効化イベント、TYPE_WINDOW_CONTENT_CHANGEDの高頻度連発、オーバーレイ表示の常時稼働といったテレメトリを高リスクシグナルとして相関検知します。
  • BIND_ACCESSIBILITY_SERVICEやSYSTEM_ALERT_WINDOW等の権限要求と、DexClassLoader等による動的コード読み込みの併用を高スコアでアラート化します（一般論の検知ヒントです）。
  • 端末で高リスクを検出した場合は、条件付きアクセスで銀行/決済/暗号資産/メール等のアプリを一時遮断し、デバイスヘルス回復を強制します。

• 金融/暗号資産/重要SaaSアプリの耐性強化

  • 重要操作の本人確認をFIDO2/パスキーに切り替え、SMS/メール/バックアップコードへの依存を縮小します。
  • オーバーレイ検知（フォーカス喪失・不透明ウィンドウ検知・遷移タイミングの異常）と、アクセスビリティ有効時のリスク低減モード（送金限度額の低減、追加バイオメトリクス）を実装します。
  • デバイス健全性（root/エミュレータ/デバッグ検知、未知提供元、アクセシビリティ状態）に基づく動的リスク評価を導入し、ハイリスク時は操作を段階的に制限します。

• ユーザー運用と教育（シンプルに“効く”メッセージ）

  • 「ノートに回復フレーズやバックアップコードを書かない」「どうしても保管が必要ならオフライン紙媒体か、エンタープライズ承認の秘密管理手段へ」を明文化します。
  • 「提供元不明のアプリは入れない」「アクセシビリティやオーバーレイを求めるアプリは業務上必要なものだけ」という2点を、端的なチェックリストで周知します。
  • 詐欺コール（遠隔操作指示）とモバイルMalの組み合わせに注意喚起し、電話越しのアプリ導入・設定変更はNGとします。

• インシデント対応プレイブック（モバイル特化）

  • 兆候検知時の即応（アクセシビリティ無効化、該当端末の隔離、企業アカウントのトークン失効・再登録、金融サービスへのフラウドフラグ共有）を定型化します。
  • ノート由来の機密流出を前提に、再発行プロセス（復旧コード/シードの再生成、SaaSのバックアップ経路変更）を事前に整備します。

• Threat Intel運用

  • オーバーレイのローカライズとターゲット金融機関の更新が拡大シグナルになります。国内金融/暗号資産向けテンプレートが流通し始めた時点で、緊急レベルに引き上げる基準を決めておきます。
  • C2の通信様式（WebSocket長期接続や難読化HTTP）や配布ドメインの回転速度をウォッチし、DNS/HTTPレベルの遅延検知を補助線にします（具体ドメインが公開され次第、ブロックリストに反映します）。

最後に、今回のポイントは「守る対象の再定義」です。銀行アプリの認証情報そのものだけでなく、“それをリセットできるもの（回復フレーズやバックアップコード）”を守る設計に、組織のルール・ツール・教育を寄せていくことが、Perseus世代に通用する防御線になります。

参考情報

• The Hacker News: New Perseus Android Banking Malware Targets Note-Taking Apps to Steal Sensitive Data
• MITRE ATT&CK for Mobile Matrix