これまで未確認だったSMS窃取型マルウェアを配布する新たなAndroidマルウェア・キャンペーンにより、主にウズベキスタンで約10万台の端末が感染しました。
「Qwizzserial」と名付けられたこのマルウェアは、Ajinaマルウェア・ファミリーに関連するサイバー犯罪活動の広範な調査の一環として、Group-IBの研究者によって特定されました。
Telegramを利用した拡散と見慣れた構造
QwizzserialマルウェアはTelegram経由で拡散されており、サイバー犯罪者は金銭的支援を提供する政府機関を装います。詐欺師は「大統領支援」や「金融支援」といった名称で悪性アプリを偽装し、ユーザーをだましてマルウェア入りのAPKをサイドロードさせます。
これらのTelegramチャンネルは、信頼性を得るために偽の政府布告を掲載することがよくあります。
このキャンペーンは Classiscam詐欺モデルを模倣していますが、フィッシングリンクの代わりにTelegramボットを使ってAPK窃取ツールを生成します。これらのボットは、チーム連携用チャンネルの管理、新規参加者のオンボーディング、収益を示す「Profit Channel(利益チャンネル)」の運用も担います。
このスキームの背後にいる単一グループは、2025年3月から6月の間に少なくとも62,000ドルを稼いだとされています。
Telegramベースのサイバー犯罪手口について詳しく読む:詐欺師がTelegramの人気を悪用しToncoin詐欺を実行
Qwizzserial の機能と進化
Qwizzserialは、ウズベキスタンの決済システムで広く使われているSMSベースの認証を標的にします。インストールされると、アプリは端末状態とSMSの権限へのアクセスを要求し、次のような機微情報を収集します。
-
電話番号および有効期限付きの銀行カード番号
-
SMS受信箱、送信済みおよびその他のメッセージ(ZIPファイルとしてアーカイブ)
-
インストールされているウズベキスタンの銀行アプリの詳細
-
MCC/MNCコードや通信事業者名を含むSIMカード情報
このマルウェアはまた、メッセージ内の銀行関連用語や、500,000 UZS(約38ドル)を超える高額の金額もスキャンします。情報の持ち出しはTelegramボット経由、または新しい亜種ではHTTP POSTリクエストを用いたゲートサーバー経由で行われます。
最近のバージョンでは、バッテリー最適化を無効化する要求など、永続化の強化が見られ、銀行カード情報を直接求めなくなっています。代わりに攻撃者は、侵害された認証情報を用いて銀行アプリへアクセスするようになった可能性があります。
拡大する脅威
Group-IBによると、デジタル決済においてSMSが唯一の認証レイヤーとして依存されているウズベキスタンの状況により、Qwizzserialの影響は増幅されています。生体認証や3D Secureのようなより強固な保護が欠如しているため、脅威アクターはこの単一障害点を効果的に悪用できます。
同社は「このキャンペーンは、Classiscam型のオペレーションがどのように進化しているかを示している」と述べました。
「脅威アクターは、ユーザーの利用習慣、セキュリティ対策、プラットフォームポリシーの変化に追随するため、常に戦術を調整しています。フィッシングリンクを使う代わりに、いまやTelegramを通じて悪性APKファイルを拡散しており、このプロセスはより効率的で追跡が難しく、新たなサイバー犯罪者が参加しやすくなっています。」
リスク軽減のため、Group-IBはユーザーに対し、非公式ソースからアプリをインストールしないこと、アプリ権限を慎重に確認することを推奨しています。企業には、ユーザーセッションの監視、啓発キャンペーンの実施、行動ベースの検知システムの導入が推奨されています。
翻訳元: https://www.infosecurity-magazine.com/news/android-sms-stealer-100000/
