TokyoBlackHatNews

gbhackers.com 4分で読了

新たなDroidLockマルウェアがAndroidデバイスをロックし、身代金の支払いを要求

zLabsのリサーチチームは、DroidLockと呼ばれるマルウェアを通じて、スペインのAndroidユーザーを標的とする高度な新たな脅威キャンペーンを特定しました。

ファイルを暗号化する従来型のランサムウェアとは異なり、このAndroidに特化した脅威は、ランサムウェア風のオーバーレイでデバイスを直接ロックし、支払いを要求しながら、侵害された端末を完全に制御し続けるという、より直接的な手法を用います。

DroidLockは主に、偽のアプリケーションをホストするフィッシングサイトを通じて拡散します。インストールされると、マルウェアは2段階の感染プロセスを利用し、まずユーザーをだまして、実際の悪意あるコードを含む二次ペイロードをインストールさせるドロッパーから始まります。

アクセシビリティサービスとデバイス管理者権限を悪用することで、DroidLockはデバイスをほぼ完全に乗っ取り、C2(コマンド&コントロール)インフラストラクチャと通信するために15種類のコマンドを使用します。

感染チェーンは、技術的なエクスプロイトではなく、ソーシャルエンジニアリングから始まります。ドロッパーは正規アプリケーションを装い、多くの場合Orangeなどの人気サービスになりすまして、ユーザーにインストール権限を付与させます。

一度実行されると、アクセシビリティサービスの許可を求めますが、これはAndroidユーザーがその影響を理解しないまま承認してしまうことがよくあります。

このアクセスが許可されると、マルウェアはユーザーの追加操作なしに、SMSアクセス、通話履歴、連絡先、音声録音のための追加権限を自動的に承認します。

マルウェアは、C2(コマンド&コントロールサーバー)と通信するために、websocketとHTTP通信の両方を活用します。 

Image
HTTP通信を介してサーバーに送信される基本データ。

この手法は、本来は障がいを持つユーザーを支援するために設計されたアクセシビリティサービスフレームワークを悪用することで、Androidの標準的なセキュリティ制限を回避しており、悪意あるアプリケーションにとって一般的な攻撃ベクターとなっています。

ランサムウェア風の脅迫

C2サーバーから適切なコマンドを受信すると、DroidLockは全画面のWebViewオーバーレイを表示し、脅迫的なランサムウェアメッセージを表示します。

このオーバーレイは、被害者のデバイスIDを識別のために要求し、脅威アクターへの即時のメール連絡を求めます。

特に、支払いが行われない場合、24時間以内にデータを完全に破壊すると脅すことで、被害者に心理的圧力をかけ、支払いに追い込もうとします。

このマルウェア亜種は、従来のランサムウェアのようにファイルを暗号化することはありませんが、デバイスを完全にワイプする技術的能力を備えており、技術的なセキュリティ概念に不慣れな一般ユーザーにとって、信憑性が高く非常に不安を煽る脅威となります。

DroidLockのコマンドセットからは、侵害の潜在的な範囲が明らかになります。マルウェアは、デバイス管理者権限を用いてデバイスをロックし、PINや生体認証設定を変更し、ファクトリーリセットを実行し、VNC接続を通じてリモートでデバイス画面にアクセスすることができます。

また、マルウェアはフロントカメラを使って画像を取得し、音声をミュートし、画面録画を継続的に行い、取得したコンテンツをbase64エンコードされたJPEG形式に変換してリモートサーバーへ流出させます。

さらに、DroidLockは2つの異なるオーバーレイ手法を通じて、認証情報窃取メカニズムを実装しています。

1つ目は偽のロックパターン画面を表示するもので、2つ目は攻撃者が制御するHTMLコンテンツを読み込んだWebViewオーバーレイを使用し、正規のバンキングアプリや認証アプリを模倣します。

Image
 データベースからのクエリインジェクション。

マルウェアは標的アプリケーションのデータベースを保持しており、被害者が特定のアプリを開いた際に、適切なオーバーレイを動的に取得して表示します。

企業への影響

Zimperiumのセキュリティ研究者は、DroidLockが包括的なデバイス乗っ取り機能を備えている一方で、同社のモバイル脅威防御(Mobile Threat Defense)プラットフォームは、ゼロデイ方式で動作するオンデバイスの動的検出エンジンを通じて、特定されたすべてのサンプルを検出していると指摘しています

Image
 偽のAndroidアップデートオーバーレイ。

このオーバーレイは、C2サーバーから BLACK_SCREEN_UPDATE_SYSTEM コマンドを受信すると上に重ねて表示されます。 

企業にとって、その影響は深刻です。感染したデバイスはワンタイムパスワードを傍受し、セキュリティ認証情報を変更し、管理されたネットワーク内で企業用端末を敵対的なエンドポイントへと変貌させる可能性があります。

MITRE ATT&CKフレームワークは、DroidLockを、初期のフィッシングベースのアクセスから、認証情報アクセス、情報収集、コマンド&コントロール、最終的なインパクトフェーズに至るまで、複数の戦術にマッピングしており、モバイル依存の組織に対するこの新たな脅威の高度さを示しています。

翻訳元: https://gbhackers.com/droidlock-malware/

ソース: gbhackers.com
#Androidランサムウェア #C2サーバー通信 #DroidLockマルウェア #MITRE ATT&CK #アクセシビリティサービス悪用 #フィッシング攻撃 #モバイルマルウェア #ランサムウェア型オーバーレイ #企業モバイルセキュリティ #資格情報窃取

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚