出典:Shutterstock / Rafapress
新たに登場したAndroidリモートアクセス型トロイの木馬(RAT)が再浮上した。このRATは、悪意のあるバンキングアプリを構築するためのノーコードインターフェースを攻撃者に提供するものであり、今回はサービスとしてのマルウェア(MaaS)モデルを採用している。このモデルにより、専門知識をほとんど持たないサイバー犯罪者でも、モバイルデバイスを完全に乗っ取るための参入障壁が大幅に低下している。
BTMOBと呼ばれるこのRATは、昨年Cybleの研究者によってSpySolrマルウェアの派生版として初めて報告されたものだ。ESETのセキュリティ研究者によると、通常のRAT動作を超えた幅広い機能を備えており、深刻な被害をもたらす可能性がある点で注目されている。
一般的なバンキング型トロイの木馬は主に金融認証情報の窃取やユーザーの取引傍受を目的としているが、BTMOBは攻撃者にさらに広範な選択肢を与える。具体的には、多様な機密データの窃取、スクリーンショットの取得、デバイス上の活動の記録、そして最終的にリモートコントロールによる乗っ取りが可能となっている。
ノーコードによる悪意あるペイロード生成ツール
ブラジルおよびラテンアメリカのユーザーを標的とするこのキャンペーンでは、RATは商品であると同時にペイロードでもある。商品としては、APKビルダーインターフェースとともに販売されており、コードを一切書かずに悪意のあるAndroidアプリなどの新たなペイロードを生成したり、特定地域向けのフィッシング誘導を迅速に適応させたりすることが誰にでも可能となっている。これはESETのセキュリティ研究者であるDaniel Cunha Barbosa氏が投稿で指摘したことだ。
このキャンペーンでは、Telegramチャンネルやその他のウェブサイトを通じてサイバー犯罪者へRATを配布しており、ストリーミングサービス、暗号資産プラットフォーム、正規アプリストアに偽装したフィッシングサイトを通じて被害者を狙う。
このマルウェアの価格は生涯ライセンスで5,000ドルと比較的安価であり、Suzu LabsでセキュアAIソリューション&サイバーセキュリティのシニアディレクターを務めるJacob Krell氏によれば、モバイルデバイス侵害のデジタル経済においてはかなりお買い得だという。
「モバイルは、産業化されたサイバー犯罪の経済原理と、エクスプロイト市場における最大のリターンが交差する領域です」と同氏は語り、著名な脆弱性調査機関であるCrowdfenseが現在、単一のAndroidゼロクリックチェーンに最大500万ドルを支払っていると付け加えた。「リターンがそれほど高ければ、モバイルキャンペーンのツールが改善されるたびに、それが直接利益につながります」とKrell氏は述べた。
さらに、MaaSモデルは高度な技術を持たない攻撃者の参入障壁も下げると、Barbosa氏は指摘した。同氏は1月に、BTMOB関連ファイルを無料でダウンロードできると主張するダークウェブフォーラムの存在を引用した。
「そのフォーラムはその後オフラインになり、我々の調査ではペイロードを発見できませんでしたが、このエピソードは商用マルウェアにまつわる馴染みのリスクを示しています。アクセスは永遠に封じ込められたままにはならず、再販、物々交換、または閉じたグループ内での共有を通じて二次市場に流通する可能性があるのです」とBarbosa氏は記している。
サイバー犯罪を成功に導くソーシャルエンジニアリング
BTMOBのペイロードを配布する悪意あるキャンペーンでは、オペレーターが被害者をストリーミングサービス、仮想通貨マイニングプラットフォーム、またはその他の馴染みのあるオンラインサービスを装ったフィッシングサイトへ誘導する。そこから、正規のリポジトリを模倣した偽のアプリストアへと誘い込み、悪意のあるAPKをインストールするよう促す。
BTMOBはオペレーターが特定の地域に合わせた誘導を可能にするため、攻撃者に強力なソーシャルエンジニアリングの手段と無制限の地理的リーチを与えると、Barbosa氏は指摘した。
同氏は最近の事例として、アルゼンチンの税務・税関当局を装いながらBTMOBを拡散させたアルゼンチンでのキャンペーンを挙げた。これはRATの拡張された機能と組み合わさることで、このマルウェアが現在配布されている地域を超えた広範な被害をもたらす可能性があると同氏は述べた。
「フィッシングによる配布、既製のアプリ構築ツール、そしてデバイス乗っ取り機能の組み合わせにより、BTMOBはブラジルやラテンアメリカをはるかに超えた範囲で注視すべき脅威となっています」とBarbosa氏は記した。
インストールされると、BTMOBはAndroidアクセシビリティサービスを悪用して昇格した権限を取得し、ユーザーの追加操作なしにシステムへのさらなるアクセスとデバイスの制御権を自らに付与することで、デバイスへの広範なアクセスを求める。
マルウェアからモバイルデバイスを守る
モバイルマルウェアは企業・個人ユーザーの双方にとって依然として重大な脅威であり、ESETはBTMOBおよびAndroidベースのその他のマルウェアからユーザーを守るための基本的なアドバイスをいくつか推奨している。
基本的なベストプラクティスとして、公式のGoogle Playストアおよびその公式リポジトリからのみアプリをダウンロードし、Googleのモバイルアプリマーケットプレイスを装った偽物に注意することが挙げられる。Barbosa氏は、企業においても従業員全体にこれを義務付けるべきだと指摘した。
基本的なフィッシング対策のセキュリティ習慣も同様に適用される。例えば、メール、メッセージアプリ、ソーシャルメディア、ターゲット広告を通じて届く不審なリンクを警戒し、少しでも詐欺の可能性があると思われるものは一切クリックしないことが重要だと同氏は述べた。
最後に、個人・組織の双方が「モバイルセキュリティソリューションを活用し、モバイルデバイスを他のマシンや環境と同等の厳密さで扱うべきです」とBarbosa氏は記した。企業の防御担当者に向けては、ネットワーク上の侵害の兆候を特定できるよう、投稿内に侵害指標(IoC)を掲載している。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/btmob-rat-brazil-latam-maas-model
