「Android.MagicAd」と名付けられた隠密性の高いAndroidトロイの木馬が、デバイスにバックグラウンド広告を大量に表示させる攻撃を展開しています。
このマルウェアは、システムアプリの悪用やデフォルトメディアプレーヤーの操作など、Androidオペレーティングシステムの制限を回避するための高度な技術を複数採用しています。
脅威アクターは当初、 Samsung Galaxy Store やXiaomiのGetAppsアプリカタログなど、公式チャネルを通じてこのマルウェアを配布していました。
早期発見を避けるため、攻撃者は50種類以上のゲームやユーティリティプログラムにトロイの木馬を偽装して埋め込みました。
これらの感染アプリは短期サイクルで運用されており、ストアフロントに約1か月掲載された後、開発者が新バージョンと入れ替えるという手口が繰り返されていました。
悪意のあるアプリはGetAppsカタログからすでに削除されていますが、以前に感染アプリをダウンロードしたデバイス上では、トロイの木馬が依然として活動を続けています。
MagicAdの開発者たちは、マルウェアが感染デバイス上にとどまり続けられるよう、回避戦術に多大な労力を費やしています。悪意のある中核機能は、暗号化されたネイティブライブラリ内に格納された.dexファイルの中に隠されています。
このトロイの木馬はこれらのライブラリをリアルタイムで復号し、環境が安全と判断した場合にのみペイロードを展開・実行します。
広告を表示する前に、MagicAdはセキュリティ研究者による解析を回避するため、徹底した環境チェックを実施します。
具体的には、仮想マシン上で動作しているかどうかを示す兆候を調べ、インストールが自然な形で行われたかを確認し、感染デバイスのIPアドレスが内部ブロックリストに登録されていないかをチェックします。
バックグラウンドで静かに動作しながら広告を表示するために、MagicAdは既存のウィンドウ上に「Translucent Activity(半透明アクティビティ)」としてバナーを描画する手法を用います。
この巧妙な手法により、マルウェアは通常のシステムアラートウィンドウ権限をユーザーに求めることなく、広告をオーバーレイ表示することが可能になります。
Dr.Webの報告によると、トロイの木馬は感染デバイスのメーカーに応じて、それぞれ異なるエクスプロイトを実行します。
XiaomiおよびAmazonデバイスでは、マルウェアはAndroid Intentsを悪用して、Mi Browser、MIUI SystemUI、Amazon Fire TVのホーム画面などのシステムアプリを乗っ取ります。
これらは信頼されたシステムアプリであるため、ユーザーが直接操作しなくてもバックグラウンドでコマンドを処理することができます。
マルウェアは自身の隠しモジュールにペンディングインテントを送信し、そのモジュールが対象のシステムアプリを騙してトロイの木馬を起動させるか、広告を直接表示させます。
Vivoスマートフォンに対しては、脅威アクターは若干異なるアプローチを採用しています。MagicAdはプロセス間通信を管理するコアシステムコンポーネントであるAndroid Binderを悪用します。
マルウェアはiManagerやVivo BrowserなどVivo固有のシステムプログラムを標的とし、Parcelデータコンテナを介して通常のインテントを送信します。
これにより、正規のVivoアプリケーションがバックグラウンドでトロイの木馬の広告コンポーネントを起動させられてしまいます。
翻訳元: https://cyberpress.org/magicad-malware-floods-android/
