Zimperiumの研究者が、ロシア語のサイバー犯罪フォーラムでサブスクリプションとして開発・販売されている新しいAndroidスパイウェア「Fantasy Hub」を特定しました。
マルウェア・アズ・ア・サービス(MaaS)とは、サイバー犯罪者が他の犯罪者にマルウェアをレンタルし、盗まれた情報を収集・悪用するために必要なインフラも提供するサービスです。通常、マルウェアの拡散は購入者に任されますが、Fantasy Hubはさらに一歩進んでいます—完全なドキュメント、ビデオチュートリアル、そして初心者でも簡単に使えるサブスクリプションモデルが用意されています。開発者は、Telegramやオンラインバンキングポータルなどのアプリを模倣した偽のGoogle Playページを作成するためのステップバイステップガイドや、リアルなレビューも提供しています。誰でも配布できるリモートアクセス型トロイの木馬(RAT)です。
拡散はソーシャルエンジニアリングやフィッシングに大きく依存しています。攻撃者はFantasy Hubのテンプレートやツールを使って、信頼性の高い偽アプリページを作成し、ユーザーを騙して悪意のあるソフトウェアをダウンロードさせます。「ドロッパー」オプションを使えば、購入者は任意のAndroidアプリAPKをアップロードし、Fantasy Hubが組み込まれた改変版を受け取ることもできます。
これらの偽アプリは本物のように見え、しばしば1つの権限、つまりSMSアクセスのみを要求します。しかし、この権限で多くのことが可能になります。SMSハンドラーの役割は、連絡先、カメラ、ファイルアクセスなど複数の強力な権限を1つの認証ステップにまとめ、デバイスのメッセージ、連絡先、カメラ機能への広範な制御を可能にします。Fantasy Hubは標準的なセキュリティチェックを回避するよう設計されており、ユーザーが検知するのは困難です。
何ができるのか?
インストールされると、Fantasy HubはSMSメッセージ、通話履歴、連絡先、写真、動画を盗み出すことができます。また、通知の傍受、返信、削除も可能です。さらに危険なのは、ユーザーの同意なしにデバイスのカメラやマイクを使ってライブの音声・映像ストリームを開始できる点です。偽のバンキングアプリに仕込まれていることもあり、ユーザー名、PIN、パスワードなどの認証情報を収集するための偽ウィンドウを表示します。Fantasy Hubの開発者が提供する便利なパックの一部として、攻撃者はほぼすべてのバンキングアプリをターゲットにしたフィッシングウィンドウをカスタマイズするツールも手に入れられます。
個人がこのマルウェアのリスクにさらされるだけでなく、BYOD(私物端末の業務利用)ポリシーを採用している組織や、モバイルバンキングや業務アプリに依存している企業にも脅威が及びます。1台の感染したスマートフォンが、企業データや通信を危険にさらす可能性があります。
どうやって守るか
Fantasy Hubは、サイバー犯罪者が複雑なスパイウェアを簡単に購入・運用できる時代になったことを示しています。しかし、いくつかの簡単な習慣で安全を守ることができます:
- 信頼できるソースを利用しましょう。アプリはGoogle Play、AppleのApp Store、または公式提供元からのみダウンロードしてください。銀行が他のソースを使うよう求めることはありません。
- 端末を保護しましょう。最新のリアルタイムマルウェア対策ソリューション(例:Malwarebytes for Android)を利用しましょう。このマルウェアはすでにAndroid/Trojan.Spy.ACRF949851CC4として検出されています。
- 権限をよく確認しましょう。本当にそのアプリが求めている権限が必要ですか?特にSMSやカメラへのアクセスを要求している場合は注意しましょう。
- 不審な連絡に注意。公式アプリストア以外で「アップデート」やインストールを促すメッセージ、メール、リンクには警戒しましょう。
