RadzaRatとして知られる新たなAndroidマルウェアの脅威が、驚くべき特徴とともに拡散しています。広範な監視やリモート操作機能を持ちながら、現在VirusTotal上の66のセキュリティベンダーすべてで検知ゼロとなっています。
このマルウェアはCertoの研究者によって発見され、正規のファイルマネージャを装いながら、攻撃者がデータを流出させたり、キーストロークを収集したり、感染デバイスをリモート操作できるようにします。
「本物のファイルマネージャとして機能する偽装と、広範な監視・データ流出機能の組み合わせにより、個人ユーザーや組織にとって重大な脅威となっています」と研究者は述べています。
RadzaRatの仕組み
RadzaRatは、完全な機能を持つリモートアクセス型トロイの木馬(RAT)として動作し、攻撃者に感染したAndroidデバイスへの広範かつ持続的なコントロールを与えます。
一度インストールされると、マルウェアはファイルシステムへの完全なアクセスを可能にし、オペレーターはディレクトリの閲覧、特定ファイルの検索、データの流出ができるようになります。最大10GBもの転送に対応しています。
これによりRadzaRatは、端末に保存された写真ライブラリ全体、文書アーカイブ、データベースファイル、企業リポジトリなどを盗み出すのに適しています。
キーロギングと入力の取得
ファイル窃盗に加え、このトロイの木馬にはAndroidのアクセシビリティサービスを利用したキーロガーが内蔵されています。
本来は障害者支援のために設計されたアクセシビリティ権限を悪用することで、RadzaRatは端末上で入力されたすべてのキーストロークを取得できます。これにはパスワード、銀行認証情報、個人メッセージ、クラウドや企業システムの認証情報も含まれます。
Telegramを利用したコマンド&コントロール(C2)
このマルウェアのコマンド&コントロール(C2)インフラはTelegramボットを中心に構築されており、Androidマルウェアの作者による利用が増えています。
RadzaRatはTelegramの暗号化された標準トラフィックに便乗することで、悪意ある通信を広く使われている正規のメッセージングプラットフォーム内に隠し、C2トラフィックを通常のユーザー行動に紛れ込ませます。
ネットワーク分析では、盗まれたデータの中継アップロードポイントとして機能するRender[.]comホスティングの2つのドメインも明らかになりました。
Renderの無料ホスティングプランにより、RadzaRatのオペレーターはコストや追跡リスクなしでインフラを展開でき、リソースの限られた攻撃者にとって運用上の利点となります。
パブリックプラットフォームでの配布と容易な利用
RadzaRatが特に低レベルの脅威アクターにも利用しやすい理由は、その配布モデルにあります。
このマルウェアはHeron44という別名を使う開発者によってアンダーグラウンドのサイバー犯罪フォーラムで公然と宣伝されており、マルウェア開発経験がほとんどない人でも簡単に操作できるツールとして位置付けられています。
コンパイル済みのAPKはパブリックなGitHubリポジトリにホストされており、誰でも障壁なく悪意あるアプリをダウンロード・インストールできます。
RadzaRatを展開するには、オペレーターは無料のRender[.]comサーバー、Telegramボットのトークン、必要な権限を付与したターゲット端末へのAPKインストールだけで十分です。
この「プラグアンドプレイ」方式は、モバイルマルウェアの開発・配布の民主化という憂慮すべき傾向を示しています。
永続化の手法
RadzaRatは高い永続化能力も示しており、ユーザーや自動モバイル防御による除去を困難にします。
Certoの分析によると、BootReceiverコンポーネントやRECEIVE_BOOT_COMPLETEDなどの権限が確認されており、端末が起動するたびにマルウェアが自動的に再起動することを保証します。
アプリはAndroidのバッテリー最適化機能からの除外も要求し、OSによるバックグラウンド活動の制限を防ぎます。
RadzaRatは複数のフォアグラウンドサービスも宣言しており、Androidのリソース管理ルール下で優遇されます。また、端末管理者権限を要求する場合もあり、アンインストールの試みをブロックできます。
これらの仕組みが組み合わさることで、マルウェアはアクティブかつ堅牢で、攻撃者のコマンドに常に応答できる状態を維持します。
また、このトロイの木馬はSYSTEM_ALERT_WINDOWのような権限を使ってフィッシングオーバーレイを表示したり、WAKE_LOCKで端末を常時アクティブに保ち、継続的なデータ取得や通信を可能にすることでステルス性を高めています。
これらの挙動にもかかわらず、APKは現在VirusTotalで0/66の検出スコアを維持しており、主要なモバイルセキュリティ製品はいずれも悪意あるものとして認識していません。
これは高度な回避技術というよりも登場が最近であることが理由と考えられますが、結果として攻撃者にはRadzaRatが完全に検知されずに端末を侵害できる危険な機会が生まれています。
RadzaRatは特定のエクスプロイトチェーンには関連していないためCVEは該当しませんが、その高度な機能、容易な展開、アンチウイルスによる未検出という点で、懸念すべき新たなAndroid脅威となっています。
組織がモバイルエコシステムを強化する方法
RadzaRatのような脅威が示す通り、モバイルデバイスは認証情報の窃取、データ流出、企業環境への持続的アクセスを狙う攻撃者の主要ターゲットとなっています。
Android端末を利用する組織(BYODプログラムや完全管理型端末を含む)は、ますますステルス性が高く容易に利用できるモバイルマルウェアに対抗するため、多層的な防御を導入する必要があります。
- 高リスクな権限(特にアクセシビリティサービス、端末管理者アクセス、オーバーレイ機能)を制限し、それらを要求するアプリを監視する。
- サイドローディングをブロックし、アプリの許可リストを徹底して、GitHubやフォーラム、直接リンクからの未審査APKのインストールを防ぐ。
- MDM/EMMコントロールを使って不審なアプリを検知・ブロックし、OSの最小バージョンを強制、画面ロックや暗号化など安全な設定を義務付ける。
- キーロギング、異常なネットワークトラフィック、TelegramベースのC2活動などの行動指標を識別するモバイル脅威防御ソリューションを導入する。
- Android Enterpriseのワークプロファイルやコンテナ化を使って業務データと個人データを分離し、端末が侵害された場合の企業リスクを限定する。
- 企業システムへのモバイルアクセスを監視し、異常な行動を検知したら迅速に認証情報をローテーションし、不健全な端末をブロックする条件付きアクセスルールを適用する。
- インシデント対応計画をモバイル特有の脅威に対応するよう更新し、定期的なモバイル脅威ハンティングを実施、組織全体でBYODセキュリティ要件を強化する。
これらのステップは、エコシステム内のモバイルデバイスに対するサイバー・レジリエンスを構築するのに役立ちます。
RadzaRatは、攻撃者が無料クラウドホスティング、暗号化メッセージングプラットフォーム、パブリックなコードリポジトリを活用し、最小限の労力で強力なAndroid RATを構築・配布するという、モバイル脅威の状況が変化していることを浮き彫りにしています。
このモバイルマルウェアの民主化により、スキルの低い脅威アクターでも、個人・企業データの両方を侵害可能な高度な監視ツールを展開できるようになっています。
攻撃者がこうした規制されていないエコシステムを悪用し続け、モバイルデバイスがビジネス運用でより大きな役割を果たす中、組織はモバイルファーストのセキュリティ戦略を優先し、行動検知能力を強化し、権限・アプリインストール・端末管理に関する統制を厳格化する必要があります。
こうした進化するモバイル脅威は、組織がゼロトラスト原則を採用し、端末・データ・アクセスのセキュリティを強化する必要性を明確に示しています。
翻訳元: https://www.esecurityplanet.com/threats/android-users-at-risk-as-radzarat-trojan-evades-detection/
