新たに特定されたAndroid向けリモートアクセス型トロイの木馬(RAT)には、正規アプリケーションの内部にペイロードを組み込むためのワンクリックAPKビルダーが含まれていると、モバイルセキュリティ企業iVerifyが報告している。
Cellikと名付けられたこのRATは、感染したデバイスを攻撃者が完全に制御できるようにし、高度なスパイウェアに見られるようなリアルタイム監視機能も備えている。
これには、リアルタイムの画面ストリーミング、キーロギング、カメラとマイクへのリモートアクセス、通知の傍受、他アプリからデータを盗むための仕組み、そして隠しブラウジングが含まれる。
デバイスにインストールされると、Cellik Android RATは攻撃者がUIを遠隔操作し、タップやスワイプをシミュレートできるようにする。
さらに、オペレーターはファイルを閲覧し、データを削除し、ファイルをダウンロードまたはアップロードし、端末に紐づくクラウドストレージサービスへアクセスできる。
このマルウェアには、デバイス上で不可視のまま動作する隠しブラウザモジュールが付属しており、攻撃者は遠隔からWebサイトへ移動し、リンクをクリックし、フォームに入力できる。しかも攻撃者はリアルタイムでスクリーンショットのストリームを受け取る。
「隠しブラウザを使えば、サイバー犯罪者は被害者が保存しているCookieを用いて静かにWebサイトへログインしたり、フィッシングページで認証情報を自動入力したりできる。Cellikは隠しブラウザで送信されたあらゆるフォームデータを取得できるため、被害者がだまされてパスワードやクレジットカード情報を入力すると、RATがそれらの詳細を傍受する」とiVerifyは述べている。
Cellikはまた、他のアプリケーションの上にオーバーレイを表示することもでき、認証情報を傍受する偽のログイン画面などを表示可能だ。異なるアプリケーションを標的とするカスタムインジェクションを作成するためのインジェクターラボを備え、アプリケーション間で複数の同時インジェクションにも対応している。
iVerifyによると、Cellik Android RATにはGoogle Play連携機能もあり、攻撃者がアプリケーションカタログを閲覧して、悪意のあるペイロードと同梱する正規アプリを選択できるという。
RATに内蔵されたツールキットを使用すれば、脅威アクターは遠隔からワンクリックで、アプリケーションにCellikのペイロードを同梱できる。
「つまりサイバー犯罪者は、人気アプリ(標的がインストールしそうなゲームやユーティリティなど)を取り上げ、そこにCellikのコードを挿入し、インストーラーとして再パッケージ化することを、すべてCellik内蔵のツールキットで行える」とiVerifyは指摘している。
Cellikはダークウェブで月額150ドルで提供されている。RDP付きの1か月サブスクリプションは200ドルで、永久サブスクリプションは900ドルだ。
「Cellikを際立たせているのは、Playストアアプリ連携と、価格に対して能力の幅が桁違いに広い点だ。これらの機能には、高度な位置情報追跡、リアルタイムのマルチメディア取得、通信の監視、暗号資産ウォレットの窃取、さらにはAIによるユーザー行動分析まで含まれる」とiVerifyは述べている。
翻訳元: https://www.securityweek.com/new-150-cellik-rat-grants-android-control-trojanizes-google-play-apps/
