TokyoBlackHatNews

gbhackers.com 5分で読了

Androidマルウェアがユーザーをプレミアムサービスに勝手に登録

Androidユーザーは、被害者の知らないうちにプレミアムモバイルサービスに無音で登録する大規模なマルウェアキャンペーンの標的になっています。

このマルウェアキャンペーンはキャリア請求詐欺に焦点を当てており、攻撃者の収益を生成するためにプレミアムSMSサービスを悪用しています。この作戦が特に危険な理由は、モバイルオペレーターに基づいて被害者を選別的に標的にできることです。

ユーザーのSIMカードが事前定義されたキャリアのリストと一致する場合、マルウェアは不正な登録ワークフローを開始します。そうでない場合は、検出を避けるために無害なコンテンツを表示します。

感染を最大化するために、攻撃者はFacebook、Instagram、TikTok、Minecraft、Grand Theft Autoなどの人気プラットフォームに偽装した悪意のあるアプリを作成しました。これらの偽のアプリケーションは複数のチャネルを通じて配布され、ユーザーをインストールするように騙しました。

zLabsはマルウェアによって使用されたいくつかの高度な技術を特定しました:

  • ハードコードされたオペレーターリストを使用したSIMベースのターゲティング。
  • JavaScript注入と組み合わされたWebView操作による登録フローの自動化。
  • GoogleのSMS Retriever APIの悪用によるOTP傍受。
  • 請求トランザクションがセルラーネットワークを通じて発生するようにするためのWiFiの強制無効化。
  • デバイスデータと詐欺活動ログのTelegramベースの流出。

マルウェアが非ターゲットオペレーターを検出した場合、それは良性のウェブコンテンツをロードし、感染したデバイス上で検出されないままでいることができます。

GBhackersと共有されたレポートでzLabsが述べたところによると、この作戦はほぼ250の悪意のあるAndroidアプリケーションを含み、2025年3月以降、マレーシア、タイ、ルーマニア、クロアチア全体のユーザーを積極的に悪用しています。

研究者は3つの異なるバリアントを発見しました。それぞれの精密性が増しています。

このキャンペーンは、MinecraftやGTAなどの人気ゲームからソーシャルメディアプラットフォームまで、被害者をインストールに誘い込むための広範な なりすまし アプリアイコンを利用しています。 

Image

バリアント1は完全に自動化された登録エンジンとして機能します。被害者のキャリアを確認してから、隠されたキャリア請求ページをロードします。注入されたJavaScriptを使用して、ボタンを自動的にクリックし、OTPコードをリクエストし、それらを入力し、登録を確認します。被害者は、詐欺をマスキングするゲーム確認メッセージなどの偽のプロンプトを表示されることがあります。

バリアント2はタイのユーザーを標的とした多段階の攻撃を導入します。検出を避けるために段階的な間隔でプレミアムSMSメッセージを送信しながら、同時に隠された請求ページをロードします。

また、Androidアプリケーションを使用してセッションクッキーを盗み、CookieManagerにより、攻撃者が認証されたセッションを維持し、成功率を向上させることができます。

Image

バリアント3はTelegramを通じたリアルタイム監視を追加します。各感染イベント、権限付与、またはSMSトランザクションは、デバイスメタデータ、オペレーターの詳細、タイムスタンプを含む、攻撃者が制御するチャネルにすぐに報告されます。

Androidマルウェアがユーザーを勝手に登録する

このキャンペーンは、次のようなドメインを含む分散型のコマンドアンドコントロールインフラストラクチャに依存しています:

  • apizep.mwmze[.]com.
  • modobomz[.]com.
  • api.modobomco[.]com.

これらのサーバーは登録自動化、被害者追跡、データ流出を処理します。攻撃者は仲介リダイレクトURLを使用して、ユーザーを正規のキャリア請求ポータルにリダイレクトする前に登録試行をログに記録します。

Googleの SMS Retriever API。ユーザーの利便性のためにアプリが自動的にOTPメッセージを読むのを支援するために設計された正当な機能です。

Image

キャンペーン全体を通じて、少なくとも12のプレミアムSMSショートコードが特定され、複数のオペレーターと国をターゲットにして、有料登録をトリガーするための特定のキーワードが使用されました。

この作戦の注目すべき特徴は、リファラー追跡システムです。各感染には、偽のアプリ名、国、プラットフォーム、オペレーターを示す構造化識別子が含まれます。

これにより、攻撃者はTikTokなどの配布チャネル、Facebook、またはGoogleがどれが最も効果的であるかを測定し、継続的なキャンペーン最適化を可能にします。

Zimperiumは、そのMobile Threat Defense(MTD)およびzDefendソリューションが、デバイス上の動的分析を使用して、すべての特定されたサンプルを検出およびブロックすると報告しています。シグネチャベースのツールとは異なり、これらのソリューションは進化するマルウェアパターンを特定し、不正なSMS活動とデータ流出を防ぐことができます。

ユーザーは非公式なソースからアプリをダウンロードすることを避け、アプリの権限を注意深く確認し、予期しない料金がないかモバイル請求明細書を監視することをお勧めします。

組織は、このような高度な詐欺キャンペーンをリアルタイムで検出およびブロックするためにモバイル脅威防御ソリューションを展開する必要があります。

翻訳元: https://gbhackers.com/android-malware-secretly-signs-users/

ソース: gbhackers.com
#Androidマルウェア #OTP傍受 #SMS Retriever API悪用 #キャリア請求詐欺 #データ流出 #プレミアムSMS #マルウェアキャンペーン #モバイルセキュリティ #モバイル脅威防御 #偽装アプリ

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚