Android RAT「Glitch SPY」、暗号資産クリッパーとリモートブラウザ機能を追加してアカウント乗っ取りを狙う

Cyble Research and Intelligence Labsは、「Glitch SPY」と呼ばれる新興のAndroid RATファミリーを発見しました。このマルウェアは、被害者をAPKのインストールに誘導する偽のポーランド語アパート賃貸サイトを通じて配布されています。

Brokewell Android Loaderとして識別されたこのダウンローダーは、賃貸をテーマにしたインターフェースをおとりとして表示しながら、ユーザーに「提供元不明のアプリのインストールを許可」させた後、Glitch SPYのペイロードをインストールします。

インストールが完了すると、Glitch SPYはただちにAndroidのアクセシビリティサービスへのアクセスを要求し、これを広範囲にわたって悪用します。

アクセシビリティが有効になると、このマルウェアは権限付与を自動化し、画面上に表示されているUIテキストを読み取り、タップやスワイプを実行し、リモート入力をシミュレートして、ユーザーの操作を一切必要とせずアプリ画面を操作します。

このユーザーによる1回の操作(アクセシビリティの有効化)によって、RATの機能のほぼすべてが解放され、インプラントはバックグラウンドでひそかに動作し続けます。

攻撃者のインフラとの通信は、コマンド&コントロール(C&C)サーバーへの持続的なWebSocketチャネルを通じて行われます。確認されたサンプルでは、C&Cドメインと「Glitch SPY」のブランド名が掲げられた管理パネルが公開されており、モジュール式の制御インターフェースが明らかになりました。

このプラットフォームには、Agents(感染デバイス)、Viewer(ライブコントロール)、Builder(ペイロード生成)、Dropper、Cryptor(近日公開予定)、および保存済みPayloadsが含まれており、繰り返しのキャンペーンや再ターゲティングを目的としたオペレーター向けのビルダープラットフォームであることがうかがえます。

主な監視・制御機能としては、ライブ画面ストリーミング、スクリーンショット取得、スクリーンリーダーによるテキスト抽出、SMSおよび通話履歴の窃取、連絡先とアカウント情報の収集、位置情報追跡、カメラおよびマイクのキャプチャ、オフライン・リアルタイム双方のキーロギング、ファイルの管理と窃取、シェルコマンドの実行、デバイスのロック・アンロック操作などが挙げられます。

また、このインプラントはアプリアイコンを非表示にしたり、アンインストールの試みをブロックしたり、生体認証プロンプトを抑制してPINによるフォールバックを強制することもできます。

Glitch SPYを金融詐欺やアカウント詐欺において特に危険な存在にしているのが、暗号資産クリッパーと非表示のリモートブラウザという2つの機能です。暗号資産クリッパーはクリップボードの内容を常時監視し、コピーされた暗号資産アドレスを攻撃者が管理するアドレスに自動的に置き換えます。

対応するアドレス形式は多岐にわたり、ETH/EVM(0x)、TRON(T)、Bitcoinレガシー(1/3)、Bech32(bc1q/bc1p)を認識するほか、URIスタイルのプレフィックス(bitcoin:、ethereum:、erc20:など)にも対応しています。

クリッパーが有効になると、AndroidのClipboardManagerを介してクリップボードの内容を書き換えるため、被害者は意図した送付先ウォレットではなく攻撃者のアドレスを貼り付けてしまい、暗号資産の送金が気づかないうちに別の宛先に誘導されます。

Cybleの調査によると、リモートブラウザは被害者のデバイス上で、画面に表示されない非表示のオフスクリーンWebView内で動作します。

ライブ画面ストリーミング、キーロギング、クリップボード監視、そしてアクセシビリティを悪用した入力操作と組み合わせることで、攻撃者はWebベースのアカウント乗っ取りやトランザクション操作を実行できます。この手法は、IPアドレスやデバイスのフィンガープリントに紐づいた不正検知システムに検出されにくいという特性を持っています。

翻訳元: https://cyberpress.org/glitch-spy-expands-tactics/

ソース: cyberpress.org