ウズベキスタンで10万台のデバイスに感染したAndroid SMS窃取マルウェア

これまで確認されていなかったSMS窃取型の新たなAndroidマルウェアが拡散され、主にウズベキスタンで約10万台のデバイスが感染しました。

このマルウェアは「Qwizzserial」と名付けられており、Group-IBの研究者によって、Ajinaマルウェアファミリーに関連するサイバー犯罪活動の広範な調査の中で発見されました。

Telegramを利用した拡散とお馴染みの手口

QwizzserialマルウェアはTelegramを通じて拡散されており、サイバー犯罪者は政府機関を装って財政支援を提供すると偽っています。詐欺師たちは「大統領支援」や「財政援助」などのタイトルで悪意のあるアプリを偽装し、ユーザーにマルウェア入りのAPKをサイドロードさせて騙しています。

これらのTelegramチャンネルでは、信頼性を高めるために偽の政府令がよく投稿されています。

このキャンペーンはClassiscam詐欺モデルを模倣していますが、フィッシングリンクの代わりにTelegramボットを使ってAPK窃取ツールを生成しています。これらのボットは、チームの連絡チャンネルや新規参加者のオンボーディング、「利益チャンネル」での収益公開なども管理しています。

このスキームを運営する単一のグループは、2025年3月から6月の間に少なくとも62,000ドルを稼いでいます。

Telegramを利用したサイバー犯罪手法についてさらに読む：詐欺師がTelegramの人気を悪用したToncoin詐欺

Qwizzserialの機能と進化

Qwizzserialは、ウズベキスタンの決済システムで広く利用されているSMS認証を標的としています。インストールされると、アプリは電話の状態やSMSの権限へのアクセスを要求し、次のような機密データを収集します：

• 電話番号および有効期限付きの銀行カード番号

• SMS受信箱、送信済みおよびその他のメッセージ（ZIPファイルとしてアーカイブ）

• インストールされているウズベキスタンの銀行アプリの詳細

• MCC/MNCコードやキャリア名を含むSIMカード情報

また、このマルウェアはメッセージ内の銀行関連用語や、50万ウズベキスタンスム（約38ドル）を超える大きな金額もスキャンします。情報の流出はTelegramボット、または新しいバージョンではHTTP POSTリクエストを使ったゲートサーバー経由で行われます。

最近のバージョンでは、バッテリー最適化の無効化を要求するなど持続性が強化されており、銀行カード情報を直接要求しなくなっています。代わりに、攻撃者は侵害された認証情報を使って銀行アプリにアクセスする可能性があります。

拡大する脅威

Group-IBによると、Qwizzserialの影響が拡大しているのは、ウズベキスタンのデジタル決済においてSMSが唯一の認証手段となっているためです。生体認証や3Dセキュアなどのより強力な保護がないことで、攻撃者はこの単一障害点を効果的に悪用しています。

「このキャンペーンは、Classiscam型のオペレーションがどのように進化しているかを示しています」と同社は述べています。

「脅威アクターは、ユーザーの習慣やセキュリティ対策、プラットフォームポリシーの変化に合わせて常に戦術を調整しています。フィッシングリンクの代わりに、現在はTelegramを通じて悪意のあるAPKファイルを拡散しており、この手法はより効率的で追跡が困難になり、新たなサイバー犯罪者も参加しやすくなっています。」

リスクを軽減するために、Group-IBはユーザーに対し、非公式なソースからのアプリインストールを避け、アプリの権限を慎重に確認するようアドバイスしています。企業には、ユーザーセッションの監視、啓発キャンペーンの実施、行動ベースの検知システムの導入を推奨しています。