Rokarollaは、TikTokやGoogle Chrome、さらにはGoogle Play Protectなどの信頼されたアプリケーションに偽装した悪意あるWebサイトを通じて配布される、高度なAndroidバンキング型トロイの木馬です。
単純な認証情報窃取ツールとは異なり、Rokarollaは多機能な不正詐欺プラットフォームです。少なくとも217種類のバンキングおよび暗号資産アプリを標的とし、アクセシビリティサービスの悪用、フィッシングオーバーレイ、SMS傍受、キーロギング、スクリーンショット監視、通話操作を組み合わせることで、感染デバイスをほぼ完全に掌握します。
初期感染はソーシャルエンジニアリングによるサイドローディングに依存しています。被害者は偽のダウンロードポータルへ誘導され、そこでドロッパーがGoogle Play Protectに偽装した第二段階のペイロードをインストールして、ユーザーの警戒心を和らげます。
インストール後、RokarollaはアクセシビリティサービスのパーミッションをはじめSMS、通知、その他の機密性の高い機能へのアクセスを積極的に要求します。これらのパーミッションが、ユーザーインターフェースの解析、操作の自動化、HTMLベースのオーバーレイ表示、認証情報の収集といったコア機能を実現する足がかりとなります。
このトロイの木馬はHTTPS経由で持続的かつ耐障害性の高いC2通信を維持し、ハードウェア情報・Androidバージョン・ローカライゼーション・バッテリー・ストレージといった広範なデバイステレメトリを収集して、デバイス固有のプロファイルを生成します。
研究者は、リモートによる動的な設定変更機能と複数のフォールバックC2ドメインを観測しており、攻撃者はターゲットリスト、フィッシングリソース、運用パラメータをリアルタイムで更新できることが確認されています。
主要な認証情報窃取は、オーバーレイベースのフィッシングによって実行されます。対象のバンキングアプリや暗号資産アプリが起動すると、Rokarollaは正規インターフェースとほぼ見分けがつかない偽のHTMLログインダイアログを表示することができます。
PolyswarmがGBhackersと共有したレポートによると、Rokarollaは少なくとも137種類のオペレーターコマンドを提供しており、監視や認証情報の窃取からデバイス管理や詐欺行為の支援まで、きめ細かいリモート操作を可能にしています。
これらのオーバーレイにユーザー名、パスワード、支払い情報を入力したユーザーのデータは、攻撃者のインフラへ直接送信されます。
偽のGoogle Play Protectを悪用するRokarolla
このマルウェアはロック画面オーバーレイも展開し、デバイスのロック解除に使用するPIN、パスワード、パターンなどの認証情報を収集することで、攻撃者のアクセス手段をさらに広げます。
通信の傍受機能は広範に及びます。RokarollaはSMSメッセージを窃取し、デバイスからメッセージを送信し、SMS経由で届くワンタイムパスコードをキャプチャすることができます。
また、電話の着信をブロックまたは傍受することも可能であり、本来であれば被害者への警告や攻撃者の活動妨害につながるはずの不正検知アラートや本人確認電話を無効化できます。
クリップボード操作機能も確認されており、暗号資産アドレスやコピーされた値を置き換えることで、送金先を不正に変更することができます。
監視機能としては、キーロギング、UIログ記録、画面上のテキスト抽出、WhatsApp連絡先の収集、スクリーンショットの取得、定期的なスナップショットベースの画面モニタリングが挙げられます。
映像をストリーミング配信する代わりに、マルウェアはタイムスタンプ付きのPNGスクリーンショットを圧縮して送信します。これはリソースを節約しつつ検知リスクを低減する、効率的なユーザー活動監視手法です。
回避・持続化のテクニックも多岐にわたります。Google Play Protectの無効化、アプリアイコンの非表示、音声および振動通知の抑制、ディスプレイの常時点灯維持、欺瞞的なオーバーレイによるユーザー操作の妨害などが確認されています。これらの動作により、発見・中断される可能性が低くなります。
Rokarollaは、AndroidバンキングマルウェアがいかにフルスケールのFraud-as-a-Platformへと進化しているかを端的に示しています。モジュール式の設計、動的な設定変更機能、広範なコマンド群により、高い適応性と耐障害性を備えています。
防御側は、不審なAndroidアクセシビリティサービスの使用、不審なオーバーレイ活動、SMSハンドラーの変更、予期しない通話制御パーミッション、サイドローディングの痕跡に対するテレメトリと検知ルールの整備を優先すべきです。
ZimperiumによるアナリシスやPolySwarmなどのコミュニティプラットフォームといった脅威インテリジェンスのソースは、検知と対応を加速するための実用的なIOCセットと行動指標を提供しています。
ユーザーはサイドローディングを避け、Google Playでアプリのソースを確認し、Play Protectを有効にし、アクセシビリティのパーミッションは信頼できるアプリケーションのみに限定してください。
組織は、異常なアクセシビリティ権限の付与やSMS・通話管理の権限変更を監視し、この新興脅威によるリスクを低減させることが重要です。
IOC情報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注意: IPアドレスおよびドメインは、意図せず名前解決やハイパーリンクが発生しないよう、意図的に無害化(デファング)されています(例:[.])。再ファング化は、MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://gbhackers.com/rokarolla-uses-fake-google-play-protect/