サイバーセキュリティ研究者たちは、273のユニークなキャンペーンの一環として3,775台以上のデバイスを侵害したAndroidマルウェア「AntiDot」の内部構造を明らかにしました。
「財政的動機を持つ脅威アクターLARVA-398によって運営されているAntiDotは、地下フォーラムでマルウェア・アズ・ア・サービス(MaaS)として積極的に販売され、幅広いモバイルキャンペーンに関連付けられています」と、PRODAFTはThe Hacker Newsと共有したレポートで述べています。
AntiDotは、Androidのアクセシビリティサービスを悪用してデバイス画面を記録し、SMSメッセージを傍受し、サードパーティアプリケーションから機密データを抽出する能力を持つ「3-in-1」ソリューションとして宣伝されています。
このAndroidボットネットは、悪意のある広告ネットワークを介して、または言語や地理的位置に基づいて被害者を選択的にターゲットにする活動に基づいて、高度にカスタマイズされたフィッシングキャンペーンを通じて配信されていると疑われています。
AntiDotは、情報窃盗の目的を達成するためにGoogle Playの更新として配布されているのが発見された後、2024年5月に初めて公に文書化されました。
他のAndroidトロイの木馬と同様に、オーバーレイ攻撃を実行し、キーストロークを記録し、AndroidのMediaProjection APIを使用して感染したデバイスをリモートで制御するための幅広い機能を備えています。また、感染したデバイスと外部サーバー間のリアルタイムの双方向通信を促進するためにWebSocket通信を確立します。
2024年12月、Zimperiumは、求人オファーをテーマにしたデコイを使用してAppLite Bankerと呼ばれるAntiDotの更新バージョンを配布したモバイルフィッシングキャンペーンの詳細を明らかにしました。
スイスのサイバーセキュリティ会社の最新の調査結果によると、273の異なるキャンペーンで3,775台以上の感染したデバイスを監視している少なくとも11のアクティブなコマンド・アンド・コントロール(C2)サーバーが稼働中です。
JavaベースのマルウェアであるAntiDotは、商用パッカーを使用して重度に難読化され、検出と分析の努力を回避します。PRODAFTによれば、マルウェアはAPKファイルから始まる3段階のプロセスの一部として配信されます。
「AndroidManifestファイルの検査により、多くのクラス名が元のAPKに表示されていないことが明らかになりました」と同社は述べています。「これらの欠落したクラスは、インストール中にパッカーによって動的にロードされ、暗号化されたファイルから抽出された悪意のあるコードを含みます。全体のメカニズムは、アンチウイルスツールによる検出を回避するために意図的に作成されています。」
起動されると、偽の更新バーを提供し、被害者にアクセシビリティ権限を付与するよう促し、その後、ボットネット機能を組み込んだDEXファイルを解凍してロードします。
AntiDotの主要な機能は、新しく起動されたアプリケーションを監視し、被害者がオペレーターが関心を持つ暗号通貨または支払い関連のアプリを開いたときに、C2サーバーから偽のログイン画面を提供することです。
また、アクセシビリティサービスを悪用して、アクティブな画面の内容に関する詳細な情報を収集し、受信および送信テキストをキャプチャするためにデフォルトのSMSアプリとして自分自身を設定します。さらに、電話を監視し、特定の番号からの通話をブロックしたり、リダイレクトしたりすることができ、詐欺のためのさらなる手段を開くことができます。
もう一つの重要な機能は、デバイスのステータスバーに表示されるリアルタイムの通知を追跡し、アラートを抑制し、ユーザーに疑わしい活動を警告しないようにするために、それらを解除またはスヌーズする手順を取ることです。
PRODAFTは、リモートコントロール機能を強化するC2パネルが、リアルタイム通信を可能にするオープンソースのJavaScriptフレームワークであるMeteorJSを使用して構築されていると述べました。パネルには6つの異なるタブがあります –
- ボット:すべての侵害されたデバイスとその詳細のリストを表示します
- インジェクト:オーバーレイ注入のターゲットアプリのリストを表示し、各インジェクトのオーバーレイテンプレートを表示します
- アナリティック:被害者デバイスにインストールされたアプリケーションのリストを表示し、将来のターゲットとして新しい人気アプリを特定するために使用される可能性があります
- 設定:パネルのコア設定オプションを含み、インジェクトの更新を含みます
- ゲート:ボットが接続するインフラストラクチャのエンドポイントを管理するために使用されます
- ヘルプ:マルウェアの使用に関するサポートリソースを提供します
「AntiDotは、特に地域や言語に特化した地域で、モバイルデバイスの持続的な制御を通じて財政的利益を得るために設計されたスケーラブルで回避的なMaaSプラットフォームを表しています」と同社は述べました。「マルウェアはまた、資格情報を盗むためにWebView注入とオーバーレイ攻撃を使用し、ユーザープライバシーとデバイスセキュリティに対する深刻な脅威となっています。」
ゴッドファーザーの復活#
Zimperium zLabsが、正当なモバイルバンキングおよび暗号通貨アプリケーションを乗っ取り、リアルタイム詐欺を実行するためにデバイス上の仮想化を利用する「洗練された進化」を発見したと述べた開発。
「この新しい手法の核心は、被害者のデバイス上に完全で隔離された仮想環境を作成するマルウェアの能力です。単にログイン画面を模倣する代わりに、マルウェアは仮想化フレームワークを含む悪意のある「ホスト」アプリケーションをインストールします」と研究者のFernando OrtegaとVishnu Pratapagiriは述べています。
「このホストは、実際のターゲットバンキングまたは暗号通貨アプリのコピーをダウンロードして実行し、その制御されたサンドボックス内で実行します。」
被害者がアプリを起動すると、仮想インスタンスにリダイレクトされ、そこから脅威アクターによって活動が監視されます。さらに、GodFatherの最新バージョンには、ZIP操作を利用し、AndroidManifestファイルに無関係な権限を埋め込むことで静的分析ツールを回避する機能が含まれています。
AntiDotの場合と同様に、GodFatherは情報収集活動を行い、感染したデバイスを制御するためにアクセシビリティサービスに依存しています。Googleは、Android 13以降、サイドロードされたアプリがアクセシビリティサービスを有効にすることを防ぐセキュリティ保護を実施していますが、セッションベースのインストールアプローチはこの保護を回避することができます。
セッションベースの方法は、Androidアプリストアがアプリのインストールを処理するために使用するもので、テキストアプリ、メールクライアント、ブラウザもAPKファイルが提示されたときに同様に行います。
マルウェアの機能の中心は、その仮想化機能です。最初の段階では、インストールされたアプリのリストに関する情報を収集し、ターゲットとして設定されている事前に決められたアプリが含まれているかどうかを確認します。
一致が見つかると、それらのアプリから関連情報を抽出し、その後、ドロッパーアプリ内の仮想環境にそれらのアプリのコピーをインストールします。したがって、被害者がデバイス上で実際のバンキングアプリケーションを起動しようとすると、GodFatherがそのアクションをインターセプトし、代わりに仮想化されたインスタンスを開きます。
以前、別のAndroidマルウェアであるFjordPhantomで同様の仮想化機能がフラグされていたことを指摘する価値があります。これは、資格情報やその他の機密データを盗むための従来のオーバーレイ戦術を超えたモバイル脅威能力のパラダイムシフトを表しています。
「このGodFatherキャンペーンは、世界中のほぼ500のアプリケーションをターゲットにして広範囲にわたるネットを投げかけていますが、私たちの分析によれば、この高度に洗練された仮想化攻撃は現在、トルコの金融機関12社に焦点を当てています」と同社は述べました。
「GodFatherマルウェアで発見された特に警戒すべき能力は、被害者が解除パターン、PIN、またはパスワードを使用しているかどうかに関係なく、デバイスロックの資格情報を盗む能力です。これはユーザープライバシーとデバイスセキュリティに対する重大な脅威をもたらします。」
モバイルセキュリティ会社は、アクセシビリティサービスの悪用が、Androidで特権エスカレーションを達成するために悪意のあるアプリが使用できる多くの方法の1つであると述べています。これには、オリジナル機器メーカー(OEM)の権限の悪用や、ユーザーが削除できないプリインストールアプリのセキュリティ脆弱性が含まれます。
「特権エスカレーションを防ぎ、Androidエコシステムを悪意のあるまたは過剰な特権を持つアプリケーションから保護するためには、ユーザーの意識や反応的なパッチ適用以上のものが必要です。プロアクティブでスケーラブルかつインテリジェントな防御メカニズムが求められます」とセキュリティ研究者Ziv Zeiraは述べています。
SuperCard Xマルウェアがロシアに登場#
この調査結果は、ロシアのユーザーをターゲットにした最初の記録された試みとして、近距離無線通信(NFC)リレー攻撃を実行して不正取引を行う新たに出現したAndroidマルウェア「SuperCard X」が続いています。
ロシアのサイバーセキュリティ会社F6によると、SuperCard Xは、NFCトラフィックをキャプチャまたは変更できる正当なツール「NFCGate」の悪意のある改造です。マルウェアの最終目的は、被害者からNFCトラフィックを受信するだけでなく、EMVチップにコマンドを送信して読み取った銀行カードデータを取得することです。
「このアプリケーションは、NFCトラフィックを傍受してユーザーの銀行口座からの資金の窃盗を行うために銀行カードデータを盗むことを攻撃者に許可します」とF6の研究者Alexander Koposovは今週公開されたレポートで述べています。
SuperCard Xを利用した攻撃は、今年初めにイタリアのAndroidユーザーをターゲットにして初めて発見されました。NFC技術を武器にして、被害者の物理カードから攻撃者が制御するデバイスにデータをリレーし、そこから不正なATM引き出しや販売時点管理(PoS)支払いを実行しました。
米国、オーストラリア、ヨーロッパの主要銀行の顧客をターゲットにできるとTelegramで宣伝されている中国語を話すMaaSプラットフォームは、チェコ共和国で悪意のある目的でNFCGateを武器化していることが判明したAndroidマルウェア「NGate」とコードレベルで大きな重複があります。
これらのキャンペーンはすべて、潜在的な被害者に有用なプログラムのふりをしてデバイスにAPKファイルをインストールする必要があると説得するためにスミッシング技術に依存しているという事実によって結びつけられています。
アプリストアで発見された悪意のあるアプリ#
前述のマルウェアのすべての亜種が被害者にデバイスにアプリをサイドロードさせる必要がある一方で、新しい研究では、公式のGoogle PlayストアとAppleのApp Storeで、個人情報を収集する能力や、暗号通貨ウォレットに関連するニーモニックフレーズを盗む能力を持つ悪意のあるアプリが発見されました。これらのアプリは、資産を流出させることを目的としています。
問題のアプリの一つであるRapiPlataは、AndroidおよびiOSデバイスで約150,000回ダウンロードされたと推定されており、脅威の深刻さを強調しています。このアプリは、低金利でローンを提供すると主張してユーザーを誘い、恐喝、脅迫、データ窃盗にさらすマルウェアの一種であるSpyLoanとして知られています。
「RapiPlataは主にコロンビアのユーザーをターゲットにして迅速なローンを約束しています」とCheck Pointは述べています。「その略奪的な貸付慣行を超えて、アプリは広範なデータ窃盗を行っています。アプリはSMSメッセージ、通話履歴、カレンダーイベント、インストールされたアプリケーションなどの機密ユーザーデータへの広範なアクセスを持ち、このデータをサーバーにアップロードすることさえしています。」
一方、暗号通貨ウォレットのフィッシングアプリは、侵害された開発者アカウントを通じて配布され、WebViewを介してフィッシングページを提供し、シードフレーズを取得します。
これらのアプリはそれ以来、それぞれのアプリストアから削除されていますが、Androidアプリがサードパーティのウェブサイトからダウンロード可能である可能性があるため、危険です。ユーザーは、金融またはローン関連のアプリケーションをダウンロードする際に注意を払うことが推奨されます。
翻訳元: https://thehackernews.com/2025/06/new-android-malware-surge-hits-devices.html