出典:Stockinq via Shutterstock
マレーシア、タイ、ルーマニア、クロアチアのAndroidユーザーを標的とする経済的動機を持つ脅迫行為者が、被害者をプレミアムなキャリア請求サービスに密かに登録するマルウェアで攻撃を行っています。
このキャンペーンでは、特定のモバイルサービスプロバイダーと地理的位置に基づいてユーザーを選択的に標的とするほぼ250個のAndroidアプリが関わっており、Zimperiumの研究者らによると、このマルウェアはMessenger、TikTok、Minecraft、Grand Theft Autoなどの人気アプリケーションに偽装し、WebView自動化、JavaScript注入、OTP傍受を使用してユーザーの操作を避け、バックグラウンドで不正な登録ワークフローを完了させます。
巧妙で執拗なキャンペーン
Zimperiumの分析によると、各悪意あるアプリが開かれると、まずデバイスのSIMカード情報を読み取って被害者のモバイルオペレーターを特定します。不正ワークフローはオペレーターがハードコードされたターゲットのリストに一致した場合のみアクティベートされます。マレーシアではDiGi、Celcom、Maxis、およびU Mobileが含まれています。デバイスがターゲット対象外のキャリアに属していた場合、悪意あるアプリは無害なWebページを単に表示し、検出をトリガーする可能性のある動作を避けたとZimperiumは述べています。
このキャンペーンは2025年3月に始まったと見られ、少なくとも1月の第2週まで非常に活発でした。インフラストラクチャの一部は現在でも稼働しています。
「zLabsチームはこのキャンペーンで3つの異なるマルウェア亜種を特定しました。各亜種は、被害者が信頼できるブランドに偽装した悪意あるアプリを無意識にダウンロードした後、被害者をプレミアムサービスに密かに登録する方法において異なるレベルの高度さを示しています」とZimperiumは述べています。
ベンダーの分析によると、最も技術的に洗練された亜種はマレーシアのユーザーを標的としたもので、登録プロセス全体を自動化していました。キャリア請求がワンタイムパスワードを必要とした場合、マルウェアはユーザーをだましてゲームアカウントの認証用のコードを入力させるように設計された偽の検証プロンプトを表示しました。実際には、ユーザーはバックグラウンドで有料登録を承認していました。
正規コンポーネントを悪用してユーザーを回避
Zimperiumは、マルウェア亜種がGoogleのSMS Retriever APIを悪用していることを発見しました。これは、アプリが自動的にワンタイムパスワードを検出するための機能ですが、マルウェアはユーザーの操作なしにOTPを密かに取得し、請求確認に使用します。マルウェアはまた、被害者デバイスのWi-Fi接続を密かに無効にして、すべてのトラフィックをセルラーネットワークで強制します。これは多くの場合、キャリア請求認証の鍵となるとZimperiumは述べています。
2番目の亜種はタイのユーザーをターゲットにして、直接的なSMS詐欺とブラウザーセッションハイジャックを組み合わせたアプローチを使用しています。マルウェアはまず被害者が特定のタイのモバイルキャリアを使用しているかを確認し、その後、有料サービス番号にSMSメッセージを自動的に送信して、ユーザーを複数の登録に加入させます。Zimperiumは、マルウェアが被害者を忙しくさせるために正規に見えるWebページを使用していることを発見しました。バックグラウンドでは、隠されたWebView(モバイルアプリがモバイルアプリ内でWebコンテンツを表示および操作するために使用)がキャリア請求ポータルにアクセスし、セッションクッキーを盗み、ユーザーの入力なしで認証されたセッションを維持していました。
3番目の亜種は最初の2つの登録詐欺機能をTelegramに基づいたリアルタイム報告システムと組み合わせていました。マルウェアはインストール、権限付与、成功した有料SMS送信を含むすべての重要なアクション毎に、オペレーターに直ちに通知しました。各通知には、デバイス識別子、被害者がインストールした偽のアプリ名、感染を配信した配布プラットフォーム、被害者が使用していたモバイルオペレーター、およびタイムスタンプが含まれていました。これにより、オペレーターは、どの偽のアプリIDおよび配布チャネルが最も成功した感染を生成しているかをリアルタイムで可視化できました。攻撃者は、TikTok、Facebook、およびGoogleを通じた悪意あるアプリの配布を監視しました。
「このシステマティックなアプローチは、キャンペーン最適化のための明確なメトリクス追跡を備えた整理された業務を示しています」とZimperiumは述べています。「攻撃者は、どのソーシャルプラットフォームと偽のアプリペルソナが最も高い転換率をもたらすかを識別できます。」
管理が悪用に追いつかない
このキャンペーンはモバイルエコシステム全体における管理の共有された失敗を表しており、単なるユーザー認識の問題以上のものであるとBlack Duckのai研究エンジニアであるVineeta Sangarajuはメールのコメントで述べています。OTPを密かに傍受するためのGoogleのSMS Retriever APIの悪用、および不正な登録ワークフローを自動化するためのWebViewコンポーネントの悪用は、モバイルアプリ業界における繰り返される問題を強調しています。「これらは不明瞭な攻撃面ではなく、文書化された、広く使用されるプラットフォーム機能であり、それらの使用を統括する管理は、それらの悪用の可能性に追いついていません」と述べています。このキャンペーンはまた、アプリストアのセキュリティチェックにおける継続的なモバイルの弱点を指しており、偽のアプリが正規のアプリケーション配布プラットフォームで引き続きホストされやすいことは注目に値します。「セキュリティチーム、特にBYODを許可する組織については、実用的な対応は、公式ストアから排他的にアプリのインストールを実施することです」とSangarajuは述べています。
このキャンペーンはエンタープライズ組織にとって重要です。モバイルデバイスには企業のメールアカウント、シングルサインオン(SSO)セッション、および多要素認証(MFA)コードが含まれているからです。Keeper SecurityのCISO(最高情報セキュリティ責任者)であるShane Barneyは追加しています。「この攻撃は従来の意味では高度ではありません。暗号化を破ったり、ゼロデイを悪用したりすることに依存していません。代わりに、SMS ベースのワンタイムパスワードを傍受しています。組織は、MFAの弱い形式として広く認識されているにもかかわらず、引き続きこれを利用しています」とBarneyは述べています。
このキャンペーンは、組織が対処しなければならないモバイルデバイスユーザーからの増加する危険性を強調しています。Verizonの2026年データ侵害調査報告書(DBIR)によると、SMSおよび音声ベースの攻撃などのモバイル中心のソーシャルエンジニアリングは、メールベースのフィッシング詐欺よりも40%ユーザーの関与を得るのに効果的でした。Verizonの研究によると、大規模な組織のモバイルデバイスが昨年SMS攻撃でターゲットとなった中央値は48回で、攻撃者がフィッシング保護をバイパスしてユーザーに直接到達する方法を提示しました。「脅威行為者は引き続き主にメールベースのフィッシング攻撃を活用して組織を侵害しています。ただし、これらの攻撃は、攻撃者がモバイルデバイスおよび他の非従来型ベクトルをターゲットにして被害者に到達しているため、より複雑化しています」と同社は警告しました。
翻訳元: https://www.darkreading.com/mobile-security/fake-android-apps-carrier-billing-fraud
