web-dev-qa-db-ja.com

Android=マルウェアポート4000を介して盗まれたお金がリモートで何かを悪用する

背景として、私のビジネス銀行口座が侵害されました。妥協には、スマートフォンの自動転送も含まれていました。したがって、銀行の資格情報と携帯電話の資格情報を取得しました。

私は当初、侵害されたラップトップ、自宅またはオフィスの侵害されたネットワーク機器、またはソーシャルエンジニアリングのキーロガーを疑っていました。しかし、ついに私のAndroid電話が侵害の別の可能性のあるソースであることがわかった。

昨夜、Android=ネットワークスキャナーを使用して、ホームネットワークをスキャンしたところ、Droid Turboが2つのサービスを実行していることを確認しました。1つはポート4000用で、もう1つはポート4500でした。ポート4000 「Remote Anything slave」と簡単なGoogleは、これによりハッカーが私のデバイスを完全に制御できることを知らせました。その他のAndroid家族の電話はこれらのサービスを実行していませんでした。すぐに電話をシャットダウンしました今朝新しい電話を買うつもりです。

この時点での私の想定は、電話のハックにより、携帯電話会社のパスコードを入手して銀行のアクティベーションコードを転送できるようになったことです。銀行と電話会社はこれが起こったことを確認します。

私の質問は、私のネットワーク(ビジネスおよび家庭)上のすべてのコンピューターと電話にマルウェアが存在する可能性があるかどうかです。電話から、マルウェアがルーターに行き、マルウェアを他のデバイスに置くことができます。ルーターにマルウェアが存在する可能性はありますか?交換する必要があるものを理解しようとしています。携帯電話で銀行のWebサイトにアクセスしたことは覚えていませんが、可能です。銀行のアプリはありませんが、電車で家に帰って何かをした可能性があります。

あらゆるアドバイスをいただければ幸いです。驚いたことに、銀行、携帯電話会社、グーグルは調査にそれほど興味がないようで、私は一人でいると思います。

malwareandroidbankssmartphone
1
user1883779

このようなことは毎日起こります。どの企業も調査を望まないのは当然のことです。規模が小さすぎて、そのための最善の利益ではありません。今、あなたの質問について...

  • ネットワークデバイス:一般に、家庭/消費者のネットワークデバイスは、安全性が保たれていないか、ファームウェアの更新が頻繁にリリースされています。最善の方法は、ルーター/ AP /スイッチの製造元のWebサイトをチェックして、最新のファームウェアを実行しているかどうかを確認することです。デバイスのハード/工場リセットは賢明でしょう。電話のマルウェアが何らかの方法でルーターに感染する可能性は低いですが、不可能ではありません。また、ホームルーターでポリシーを実装できる場合は、不要な送信トラフィックをブロックすることを検討してください。これにより、デフォルトのhttp/httpsポートを使用していないマルウェアアプリケーションがホストに到達するのを阻止できます。
  • その他のコンピューター/電話:まず、各デバイスの管理者パスワードを変更し、フルAVスキャンを実行する必要があります。クラウドベースのファイル共有サービス(Googleドライブ、Dropboxなど)を使用している場合は、それらもスキャンする必要があります。確かに、最初に感染した電話で使用したサービスを狙ってみてください。電話に関連付けられていたアカウントは、可能であれば、ユーザー名などの資格情報を変更する必要があります。まだ実行していない場合は、各マシンでソフトウェアファイアウォールを実行していることを確認してください。
  • Gmail:私はあなたがGmailアカウントを持っていること、そしていくつかのサービスがこのアカウントに関連付けられていることを想定しています。 Googleが提供する Google Authenticator サービスの使用を検討してください。 6桁が必要ですPIN承認されていないものについてGoogleアカウントを使用しようとするときは常に、メールアカウントは通常、他の多くのアカウントの頂点です。パスワードを設定してください他のすべてのアカウントとは異なり(常に実行する必要があります)、プロバイダーが許可する最大のセキュリティを実装します。
  • さらなるセキュリティの前進:クレジットカードと銀行口座の場合、請求が行われたとき、または新しいデバイスがアカウントへのアクセスに使用されたときに通知する電子メール/テキスト通知をセットアップします。ほとんどの銀行がこれを提供しています。また、携帯電話にインストールするアプリケーションには十分注意してください。あなたが最初にインストールしたアプリケーションから感染が発生した可能性があります。
1
Jack Bahou

RemoteAnyThingは、実際にはSMS管理アプリで、SMSの制御をコンピューターにオフロードできるように設計されています(読み取り/送信用)SMS =携帯電話を使用しない。それ自体はウイルスではありませんが、SMS経由で携帯電話に送信され、銀行のコードを一度使用した後に攻撃者が使用することは非常に便利です。これにより、(プロバイダーによっては、 SMSを介してこれを行います)コール転送を設定します。最後に、あなた(または攻撃者は、残念ながら)をGoogle Playストアを介して展開できるため、実際の攻撃はおそらくGoogleアカウントの侵害として開始され、携帯電話に誘導されます。アプリを巧みに使用することで、2要素の認証トークンを盗むことができました。

私はもう1つの答えです。Googleアカウントで2FAを使用することは本当に良いアイデアです。それは、基本的にあなたの人生全体をカプセル化するアカウントを強化します(特に、Androidパワードフォン)を使用する場合)。アクセスを保護する際にあらゆる予防策を講じる必要性を軽視することは不可能です。

編集:最後の質問により完全に答えるために:RemoteAnyThingは、コンピューターへの直接接続を介して動作しているように見えるため、ポートの可用性があります。そのため、デスクトップが侵害されてソフトウェアが秘密裏に実行されたか、ルーターが侵害されて、他の場所(攻撃者のコンピュータまたはゾンビの仲介者)で実行されているソフトウェアからの接続がポート転送されました。

1
Jeff Meden