RedWingスパイウェアがTelegramでサービスとして販売中、Androidを標的に

Telegramを通じて犯罪者に貸し出されている新種のAndroidスパイウェアが確認されました。これにより、スキルの低い攻撃者でもスマートフォンを乗っ取り、銀行の認証情報を盗み出せるようになると研究者らは指摘しています。

Zimperiumのzレクスは、このマルウェアをRedWingと命名し、販売者向けドキュメントやチュートリアル動画、サブスクリプション制まで備えた洗練されたマルウェア・アズ・ア・サービス(MaaS)事業だと説明しています。

同社はこのマルウェアをロシアの脅威アクターと結びつけており、現在確認されているサンプルの多くは一般的なセキュリティツールをすり抜けてしまうとしています。

Telegramでオーダーメイド生成

RedWingの特徴は、購入と展開の手軽さにあります。Telegramのボットが顧客向けに悪意のあるAPKを生成・難読化し、さらに紹介制度によって拡散すればするほど割引が受けられる仕組みも用意されていました。

運営者はGoogle Play、Galaxy Store、AppGallery、あるいはロシアのRuStoreを模した偽のアプリストアページを生成することも可能で、偽の評価やダウンロード数を表示して被害者にインストールを促していました。

インストールされると、RedWingは通常のセットアップを装った一連の権限要求画面を被害者に提示し、Androidのアクセシビリティサービスの利用許可やSMS受信箱の制御権限など、必要なアクセス権を巧妙に取得させます。その後はアイコンを隠し、バックグラウンドで静かに動作し続けます。

関連記事: Rokarollaバンキング型トロイの木馬、銀行詐欺と端末監視を組み合わせる手口とは

オーバーレイ、着信転送、DDoS攻撃

RedWingの中核となる手口は、偽のオーバーレイ画面による認証情報の窃取です。被害者が標的となっている銀行アプリや暗号資産アプリを開くと、その上に本物そっくりのログイン画面が重ねて表示され、入力した情報が盗まれます。運営者はコントロールパネルから新たな標的アプリを追加することも可能です。

zレクスによれば、標的とされた金融機関は82件に上り、その大半がロシアの金融関連企業だったといいます。

二要素認証(2FA)を突破するため、このマルウェアはSMSで届く認証コードを傍受するほか、被害者宛ての着信を密かに攻撃者側の番号へ転送することもでき、銀行が不正利用を確認するために行う確認電話をかいくぐっていました。

さらに、リアルタイムのVNC画面操作やキーロギング、カメラ・マイクを使った隠密録画・録音機能も備えていました。感染した端末は、サービス拒否(DDoS)攻撃用のボットネットに組み込まれることさえありました。

Zimperiumによれば、ドロッパーやオーバーレイの共通点から見て、RedWingはOblivionとして知られるAndroidマルウェアファミリーの新たな亜種とみられるとのことです。

翻訳元: https://www.infosecurity-magazine.com/news/redwing-android-spyware-maas/

ソース: infosecurity-magazine.com