Glitch SPY RAT、Androidアクセシビリティサービスを悪用してデバイスを完全掌握

「Glitch SPY」として追跡されている新興のAndroidリモートアクセス型トロイの木馬(RAT)プラットフォームが確認されました。偽のポーランド語アパート賃貸サイトを囮に使い、被害者を騙して悪意のあるAPKをサイドロードさせる手口を使っています。

「Brokewell Android Loader」と特定されたドロッパーは、一見もっともらしい賃貸アプリの画面を表示しながら、裏でGlitch SPYをひそかにインストールし、ユーザーにAndroidアクセシビリティサービスの有効化を強制します。この悪用により、マルウェアは感染デバイスをほぼ完全に制御できるようになります。

ローダーはユーザーをサイドロードの許可に誘導した後、Glitch SPYのペイロードを展開します。その間、ユーザーには無害に見える賃貸アプリの画面が表示され続け、インプラントはバックグラウンドで密かに動作します。

Cybleは、このマルウェアがsportypointsrewards[.]comと通信していることを観測し、「Glitch SPY」とブランド表示された管理パネルが公開されていることも確認しました。これにより、ビルダー型のインフラストラクチャであることが裏付けられています。また、gich[.]etherraffleexchange[.]usにある別のパネルも発見されましたが、そちらに紐づくAPKは回収されていません。

Glitch SPYの能力の核心は、アクセシビリティサービスの悪用にあります。一度許可が与えられると、このインプラントはUI要素の監視、表示テキストの抽出、タップやジェスチャーの実行、権限プロンプトの自動承認、生体認証やロック画面操作との連携、複雑な入力シーケンスの送信といった操作が可能になります。

Image

Cyble Research and Intelligence Labsがレポートを通じてGBhackersに伝えたところによると、偽のポーランド語アパート・一戸建て賃貸プラットフォームを通じて配布されている「Glitch SPY」と呼ばれる新興のAndroidマルウェアファミリーが特定されたとのことです。

これらの機能により、追加のユーザー操作をほとんど必要とせず、デバイスをリモートから完全制御することが可能となります。被害者のスマートフォン上でリアルタイムに取引を完了させるなど、実害を伴う不正操作も実行できます。

Glitch SPY RATによるAndroid悪用の実態

このインプラントは「エージェント」として登録され、C&Cサーバーとハートビートメッセージを交わしながら、70以上のコマンドを実行できます。対応する操作は、ライブ画面ストリーミング、スクリーンショット撮影、キーロギング、SMSと連絡先の窃取、位置情報追跡、カメラ・マイクのキャプチャ、ファイル管理、シェル実行、デバイス管理者権限の操作など多岐にわたります。

配布の拠点となっているのは、tutaj-dompl[.]comでホストされているポーランド語の囮サイトです。このサイトは、予約やオーナーへの問い合わせにアプリが必要だと称して、不明なソースからのインストール許可をユーザーに促します。

Image

注目すべき機能の一つが、クリプトクリッパーです。クリップボード監視が有効になっている状態で、Glitch SPYは一般的な形式(ETH/EVM、TRON、ビットコインのレガシー形式およびBech32、URIプレフィックス付きバリアントなど)の暗号資産アドレスのコピーを検出し、被害者のアドレスを攻撃者が管理するアドレスにすり替えます。これにより、暗号資産ユーザーを直接狙い撃ちにします。

Glitch SPYはさらに、被害者のデバイス上でオフスクリーンのWebViewを動作させるリモートブラウザ機能も実装しています。

この隠しブラウザにより、攻撃者は被害者のIPアドレスを使い、被害者のCookieやセッションを保持したまま、ページの読み込み、ナビゲーション、フォームへの入力、要素のクリック、JavaScriptの実行をすべてリモートから行うことができます。アカウント乗っ取りや不正操作における検出リスクを大幅に低減できる点が特徴です。

暗号化ファイルにはFMENC1ヘッダーに続いて暗号メタデータと暗号文が格納されます。平文ファイルの通常削除が失敗した場合、マルウェアはファイルをランダムデータで上書きするセキュア削除ルーティンを使用します。

Image

ファイル管理機能には、フォルダの圧縮・窃取のほか、AES/GCMベースのファイル暗号化とセキュア削除ルーティンが含まれています。分析されたサンプルでは大規模なランサムウェアとして使用された形跡はありませんが、暗号化機能は実装済みであり、プラットフォームの拡張対象として明示されています。

公開されている管理パネルはモジュール型ビルダーアーキテクチャを採用していることを示しており、オペレーターはアプリ名、パッケージID、アイコン、デコイWebViewのURL、機能モジュール、デバイス管理者オプション、Telegram通知などを設定できます。

ドロッパーモジュールは段階的な配布をサポートしており、ペイロードリポジトリには生成されたAPKが保存されます。これは、単一の標的型インプラントではなく、繰り返しのキャンペーンを想定した販売可能なプラットフォームであることを示しています。

運用面では、囮コンテンツの言語や配布テーマからポーランドをターゲットにしたキャンペーンと見られますが、ビルダーがペイロードごとにカスタマイズ可能な設計であるため、脅威アクターはコードを変更せずに別の地域や別の囮に簡単に適応させることができます。

対策は明確です。公式アプリストア以外からのAPKインストールを行わないこと、不明なソースからのインストール許可を求められても拒否すること、アクセシビリティサービスの有効化を求めるリクエストを極めて疑わしいものとして扱うこと、そしてGoogle Play ProtectとOSのセキュリティパッチを常に最新の状態に保つことが求められます。

侵害の痕跡(IOC)

インジケーター インジケーター種別 説明
hxxps://tutaj-dompl[.]com/Tutajdom.apk URL 配布URL
sportypointsrewards[.]com ドメイン C&Cサーバー
80af5e921cf8a3052fe4483bb2eb15953590e72ed003ac61c0b9135575c32075 ファイルハッシュ(SHA256) Glitch SPYハッシュ
d439475bf09af7b474cdba2c19e136a1dd38e62b088537445ac3c8e4c2d3a8b1 ファイルハッシュ(SHA256) Brokewell Loader

注意: IPアドレスおよびドメインは、誤ってアクセスされないよう意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。

翻訳元: https://gbhackers.com/glitch-spy-rat-abuses-android/

ソース: gbhackers.com