TokyoBlackHatNews

bleepingcomputer.com 5分で読了

複数の脅威を持つAndroidマルウェア「Sturnus」がSignalやWhatsAppのメッセージを盗み出す

Image

「Sturnus」と名付けられた新たなAndroidバンキング型トロイの木馬は、Signal、WhatsApp、Telegramといったエンドツーエンド暗号化されたメッセージングプラットフォームから通信内容を取得できるほか、デバイスを完全に制御することも可能です。

まだ開発中ではあるものの、このマルウェアはすでに完全に動作しており、「地域特化型のオーバーレイテンプレート」を用いて、ヨーロッパの複数の金融機関のアカウントを標的とするよう設定されています。

Sturnusは、現在流通しているAndroidマルウェアファミリーよりも高度な脅威であり、コマンド&コントロール(C2)サーバーとの通信にプレーンテキスト、RSA、AES暗号化を組み合わせて使用しています。

Androidデバイスの完全な乗っ取り

オンライン詐欺防止および脅威インテリジェンスソリューションを提供するThreatFabricのレポートによると、Sturnusは、デバイス画面からコンテンツを取得することで、復号処理の後に安全なメッセージングアプリからメッセージを盗み出すことができます。

このマルウェアは、HTMLオーバーレイを用いて銀行口座の認証情報を盗み出すこともでき、VNCセッションを通じた完全なリアルタイムのリモート制御もサポートしています。

ThreatFabricのレポートに記載された侵害指標に基づくと、このマルウェアはGoogle ChromeまたはPreemix Boxアプリケーションを装っています。感染は、Google ChromeまたはPreemix Boxを装ったAPKをダウンロードすることから始まります。ただし、研究者たちはマルウェアの配布方法についてはまだ突き止めていません。

インストール後、このマルウェアは暗号化によるやり取りを通じて被害者を登録するため、C2インフラに接続します。

ThreatFabricは、使用されているオーバーレイに基づき、ヨーロッパでの一部の標的化を確認していますが、活動量は全体としては少ないとしています。コマンド送信とデータ流出には暗号化されたHTTPSチャネルを確立し、リアルタイムのVNC操作とライブモニタリングにはAESで暗号化されたWebSocketチャネルを使用します。

デバイス上のユーザー補助サービスを悪用することで、Sturnusは画面上のテキストを読み取り、被害者の入力を取得し、UI構造を観察し、アプリの起動を検知し、ボタンを押し、スクロールし、テキストを注入し、スマートフォンを操作することができます。

デバイスを完全に制御するために、SturnusはAndroidデバイス管理者権限を取得し、パスワード変更やロック解除の試行を追跡したり、デバイスをリモートでロックしたりできるようにします。

このマルウェアはまた、ユーザーがその権限を削除したり、デバイスからアンインストールしたりするのを妨げようとします。

「管理者権限が手動で取り消されるまで、通常のアンインストールもADBなどのツールを使った削除もブロックされるため、このマルウェアはクリーンアップの試みに対して強力な防御を持つことになります」 – ThreatFabric

ユーザーがWhatsApp、Telegram、Signalを開くと、Sturnusは付与された権限を使って、メッセージ内容、入力中のテキスト、連絡先名、会話内容を検知します。

Image
メッセージングアプリを標的とするコード
出典: Threat Fabric

「ネットワークの傍受ではなくユーザー補助サービスのログ取得に依存しているため、このマルウェアは画面に表示されるあらゆるもの――連絡先、会話スレッド全体、受信・送信メッセージの内容――をリアルタイムで読み取ることができます」と研究者らはレポートで述べています。

「この機能は特に危険です。正規アプリによってメッセージが復号された後にアクセスすることで、エンドツーエンド暗号化を完全に回避し、本来はプライベートであるはずの会話を攻撃者に直接見せてしまうのです。」

VNCモードにより、攻撃者はボタンをクリックしたり、テキストを入力したり、スクロールしたり、スマートフォンのOSやアプリを操作したりすることができ、これらはすべてユーザー補助機能によって実現されています。

VNC mode
SturmusのVNCモード
出典: Threat Fabric

準備が整うと、攻撃者は黒いオーバーレイを有効にし、被害者から見えない状態で操作を実行します。これには、バンキングアプリからの送金、ダイアログの確認、多要素認証画面の承認、設定変更、新たなアプリのインストールなどが含まれる可能性があります。

ThreatFabricのレポートでは、バックグラウンドで実行されている悪意ある動作を隠すために表示される、偽のAndroidシステムアップデート画面のオーバーレイ例が示されています。

Fake Android update overlay
偽のAndroidアップデートオーバーレイ
出典: Threat Fabric

研究者らは、Sturnusはまだ開発初期段階にあり、断続的に展開されているに過ぎず、本格的なキャンペーンではなくテスト目的で使用されている可能性が高いとコメントしています。

それでも、トップクラスのAndroidマルウェアに見られる高度な機能と、「スケール可能」なアーキテクチャを兼ね備えていることから、今後警戒すべき危険な脅威であるといえます。

ThreatFabricは、Sturnusによる攻撃を少量ながら検出しており、その多くは南欧および中欧のユーザーを標的としていることから、脅威アクターが大規模キャンペーンに向けたテストを行っている可能性が示唆されます。

Androidユーザーは、Google Play以外からAPKファイルをダウンロードしないこと、Playプロテクトを有効に保つこと、本当に必要な場合を除きユーザー補助権限を付与しないことが推奨されています。

翻訳元: https://www.bleepingcomputer.com/news/security/multi-threat-android-malware-sturnus-steals-signal-whatsapp-messages/

ソース: bleepingcomputer.com
#Accessibilityサービス悪用 #Androidマルウェア #Signal・WhatsApp盗聴 #Sturnusバンキングトロイ #ThreatFabric調査 #VNCによる遠隔操作 #エンドツーエンド暗号化回避 #オーバーレイ攻撃 #モバイルバンキング詐欺 #ヨーロッパ金融機関標的

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用