10ヶ月間のAndroidマルウェアキャンペーンが、ほぼ250個の偽アプリを使用して、マレーシア、タイ、ルーマニア、クロアチアのユーザーを対象に、携帯電話の請求書を通じてプレミアムサービスに登録させてきました。
モバイルセキュリティ企業Zimperiumの zLabs研究チームによる新しい分析によると、同社により「Premium Deception」と呼ばれるこの作戦は、2025年3月から2026年1月中旬まで実行されました。インフラストラクチャの一部は出版時点でも稼働しています。
偽アプリは、Facebook Messenger、Instagram Threads、TikTok、Minecraft、Grand Theft Autoを含む広く認識されているブランドを詐称しています。
3つのバリアント、1つの目標
zLabsは段階的に高度化する3つのマルウェアバリアントを特定しました。最も高度なもので、マレーシアのDiGiユーザーを対象に展開されたもので、登録ワークフロー全体を自動化しました。
デバイスのSIM通信事業者コードを読み取り、ハードコードされたリストと照合した後、マルウェアはWi-Fiを無効化して通信をセルラーネットワークに強制し、非表示のWebViewでDiGiの公式請求ポータルを読み込み、JavaScriptを実行して「Request TAC」ボタンをクリックし、傍受した一回限りのパスワード(OTP)を入力して登録を確認します。
その後、OTPはGoogleのSMS Retriever API(ユーザーに促すことなく自動的に確認コードを読み取るように設計された正規のAndroid機能)の悪用を通じて収集されます。
Androidマルウェアキャンペーンについてもっと読む:マルウェアキャンペーンがデータ盗難のため交際アプリを装う
2番目のバリアントはタイのユーザーを対象に、コマンド・アンド・コントロール(C2)サーバから動的な登録対象を取得し、自動不正検出を回避するために60秒と90秒の間隔で遅延SMSをスケジュールし、非表示のキャリア請求ページからセッションクッキーを収集するマルチステージ攻撃を実施しました。
3番目のバリアントはリアルタイムTelegramレポート機能を追加し、デバイスが感染した、権限が付与された、またはプレミアムSMSが送信されたときは常に、ボットが攻撃者に通知します。
最適化のために構築
キャンペーンインフラストラクチャは、よく組織されたコマーシャル操作を示唆しています。各マルウェアサンプルは{FakeAppName}-{Country}-{Platform}-{OperatorCode}の形式でHTTPリファラーヘッダーを埋め込み、攻撃者は偽りのペルソナと配布チャネル(TikTok、Facebook、Google)のうち、最も成功した感染をもたらすものを測定できます。
SIM通信事業者がターゲットリストの外のデバイスに展開された場合、マルウェアは疑惑を避けて永続性を保つために、apkafa.comの無害なWebビューを静かに表示し、このエバージョンパターンはZimperiumがMITRE ATT&CK技術T1628.001にマッピングしています。
zLabsは4つのターゲット国を通じて悪用されている少なくとも12個のプレミアムSMSショートコードを特定し、modobomz[.]comおよびmwmze[.]comドメインにまたがるC2インフラストラクチャとともに特定されました。
この脅威および類似の脅威から身を守るために、ユーザーはサードパーティストアからのAndroidアプリのサイドロードを避け、インストールされたアプリを信頼できるブランド名に対して監査し、説明のない登録料金について最近の携帯電話の請求書を確認する必要があります。
翻訳元: https://www.infosecurity-magazine.com/news/android-carrier-billing-fraud-four/
