Rokarollaは、信頼性の高いアプリケーションを偽装した悪意のあるウェブサイトを通じて配布される、非常に侵襲性の高いAndroidバンキング型トロイの木馬です。モバイルユーザーを狙った攻撃に使用されています。
このマルウェアは、広範なデバイス権限とフォールバックC2(コマンド&コントロール)インフラを活用し、感染したスマートフォンに対して持続的かつ隠密な管理者制御を維持しながら、金融詐欺を実行します。
この脅威は、巧妙なオーバーレイ攻撃を用いて機密情報を窃取し、少なくとも217種類の暗号資産・金融アプリケーションを標的にしています。
Zimperium zLabsは最近、このマルウェアの広範な機能を詳細に記録し、単なる認証情報窃取ツールにとどまらず、デバイスを完全に乗っ取るツールとして機能することを明らかにしました。
IntCyberDigestによる報道でも脅威の深刻さが浮き彫りになっており、このマルウェアがデバイスを操作するための少なくとも137個のオペレーターコマンドを備えていることが指摘されています。
この膨大なコマンド群により、悪意ある攻撃者は被害者に一切気付かれることなく、深部の管理機能を実行することができます。
初期感染経路は、正規のソフトウェア配布サイトを装った偽のウェブポータルを利用し、被害者を欺いて不正なアプリケーションをダウンロードさせる手口です。
これらの悪意あるペイロードは、TikTokやGoogle Chromeといった人気の消費者向けソフトウェア、またはセキュリティツールを装っていることが多いです。
インストール後、セカンダリドロッパーはGoogle Play Protectを偽装し、セットアップ中に安全であるかのような錯覚を被害者に与えます。
マルウェアはインストール直後に、AndroidアクセシビリティサービスへのC広範なアクセス権と、通知・テキストメッセージに関する重要なシステム権限を要求します。
これらの初期権限は、一連の監視・詐欺活動全体の基盤として機能します。
実行チェーンの早い段階でこれらの高レベルなシステム権限を確保することで、マルウェアはオペレーティングシステムが課す従来のサンドボックス制限を回避できるようになります。
アクセシビリティ機能は悪用され、悪意のある操作の自動化、ユーザーインターフェース要素の解析、そしてユーザーの操作なしに実行中のアプリケーションとシームレスに連携するために使用されます。
このトロイの木馬は、標的アプリケーションのリストと関連するフィッシングテンプレートをリモートサーバーから動的に取得します。
ユーザーが対象のバンキングアプリを起動すると、マルウェアは直ちに正規のログイン画面を精巧に模倣した偽のHTMLオーバーレイを表示します。
被害者は気付かないまま、パスワードや支払い情報、個人データをこの偽のインターフェースに直接入力してしまいます。取得された情報は即座に攻撃者が管理するインフラへと送信されます。
オーバーレイ攻撃のシームレスな性質により、被害者は被害に気付くことができません。さらにマルウェアは、AndroidシステムのロックCI解除認証情報を窃取するために設計された専用のロック画面オーバーレイも展開します。
正規のシステム認証プロンプトを完璧に複製することで、攻撃者はPINやロック解除パターンを取得し、デバイスの根本的なセキュリティ障壁を回避できます。polyswarmが報告しています。
注: IPアドレスとドメインは、誤って名前解決やハイパーリンクが生じないよう、意図的にデファング処理(例:[.])が施されています。元の形式への変換は、MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/rokarolla-android-fallback-control/