zLabsの脅威インテリジェンスチームに所属するサイバーセキュリティ研究者たちが、「Rokarolla」と名付けられた高度に侵襲的なAndroidバンキング型トロイの木馬を発見しました。
このマルウェアは、主要なコマンド&コントロール(C2)インフラにちなんで命名されており、217種類の銀行・暗号資産アプリを標的とし、被害者のアカウントから資金を組織的に搾取します。
Rokarollaは、TikTokやGoogle Chromeといった人気アプリの正規ダウンロードサイトを装った悪意あるフィッシングサイトを通じて拡散します。
インストールされると、137種類もの管理コマンドを駆使して、検知を回避しながら金融詐欺を実行し、機密データを収集し、感染端末を完全に掌握します。
攻撃は、被害者を巧みに誘導して第二の悪意あるペイロードをインストールさせるドロッパーアプリから始まります。
ユーザーの疑念を払拭し、Androidに組み込まれたセキュリティ制限を回避するため、この第二段階のマルウェアはGoogle Play Protectサービスになりすまします。
重要なセキュリティ機能を装うことで、マルウェアはユーザーを操作して過剰な権限、とりわけAndroidの強力なアクセシビリティサービスへのアクセスを付与させます。
この根本的なアクセス権を得ることで、トロイの木馬はユーザーの操作を必要とせず、プロンプトのクリック、画面上のコンテンツの読み取り、そして深いレベルでの持続的な潜伏が可能になります。
Rokarollaのデータ窃取活動の核心は、不正なスクリーンオーバーレイの巧みな活用にあります。このマルウェアはC2サーバーに定期的に問い合わせを行い、標的とする金融アプリのリストを取得します。
被害者が標的の銀行アプリや暗号資産アプリを開こうとすると、RokarollaはHTMLベースの偽フィッシングページを動的にダウンロードし、正規のアプリ画面に直接重ね合わせて表示します。
ユーザーはこの偽の画面に気づかぬまま認証情報やPIN、クレジットカード番号を入力してしまい、そのデータは攻撃者が管理するサーバーへ送信されます。
さらにRokarollaは、Androidのロック画面を模した偽オーバーレイを展開し、デバイスのPINやスワイプパターンを盗み取ります。これにより攻撃者は、ユーザーが安全にロックされていると思っている状態でも端末にアクセスできます。
Rokarollaは従来の継続的な画面キャストに頼るのではなく、スナップショットベースの疑似VNCメカニズムを採用しています。
被害者の端末のスクリーンショットをひそかに撮影し、画像ファイルに圧縮してから、正確なタイムスタンプとともに外部へ送信します。
さらに、バックグラウンドでコピーされたテキストをシームレスに差し替えることでクリップボードを悪用します。
この手口は暗号資産ユーザーに特に大きな被害をもたらします。取引が完了する直前に、正規のウォレットアドレスが攻撃者のアドレスに置き換えられてしまうためです。
セキュリティアナリストは、Rokarollaに関連するIOC(侵害の痕跡)の完全なリストと悪意あるドメインをZimperium GitHubリポジトリで確認でき、この進化し続ける脅威への防御強化に役立てることができます。
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的に無害化(例:[.])されています。再有効化はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム上でのみ行ってください。
翻訳元: https://cyberpress.org/rokarolla-steals-android-credentials/
