(画像クレジット: Shutterstock)
- 新しいAndroid MaaS「Albiriox」がオーストリアのユーザーの銀行・暗号資産アプリを標的に
- マルウェアは偽アプリ、ドロッパーAPK、400以上のオーバーレイを使って機密データを窃取
- 研究者はキャンペーンをロシアの関係者と関連付け、盗まれた情報はTelegram経由で流出
Androidユーザーが新たな高度なマルウェア・アズ・ア・サービス(MaaS)の標的となっており、銀行や暗号資産アプリへのアクセスを狙い、最終的には金銭やその他の貴重品を盗もうとしています。
最近、サイバーセキュリティ研究者のCleafyは、Androidマルウェア「Albiriox」がダークウェブで宣伝されているのを確認したと述べています。
このツールは、標的デバイスの完全なリモートコントロールや、400以上の銀行、フィンテック、暗号資産、決済アプリ向けのハードコードされたオーバーレイなど、「フルスペクトル」の機能を提供しているようです。
偽のソフトウェアアップデート
マルウェアはPENNYを含むあらゆる企業を装っています。攻撃者は偽のランディングページやGoogle Playストアのアプリリストページを作成し、被害者に電話番号の入力を求めます。入力した人には、SMSやWhatsAppメッセージで.APKファイルのダウンロードリンクが送られます。
現時点では、この詐欺はオーストリアの電話番号でのみ機能しますが、Cleafyは攻撃が他の地域にも簡単に拡大する可能性を示唆しています。
このAPK自体はマルウェアではなく、ドロッパーです。
「マルウェアは、ソーシャルエンジニアリングによる誘導で配布されるドロッパーアプリケーションと、パッキング技術を組み合わせて静的検知を回避し、ペイロードを配信します」とCleafyの研究者Federico Valentini、Alessandro Strino、Gianluca Scotti、Simone Mattiaは述べています。
インストールされると、ドロッパーは権限を要求し、「ソフトウェアアップデート」を求めますが、これは実際には本物のペイロードのダウンロードに過ぎません。
Albirioxを通じて、攻撃者はモバイルデバイスを完全に乗っ取ることも、マルウェアを情報窃取ツールとして利用し、電話番号やパスワードなどの機密情報を流出させることもできます。すべてのデータはTelegramチャンネルに送信されているとのことです。
特定は困難ですが、これはロシアの脅威アクターによるものと見られます。Cleafyによると、攻撃者のサイバー犯罪フォーラムでの活動や話し方、使用しているインフラなどから、ロシア起源であることが示唆されています。
