「Cellik」Android RAT、Google Play ストアを悪用

出典：Igor Sarozhkov（Alamy Stock Photo経由）

RAT（リモートアクセス型トロイの木馬）のサービス提供（RAT-as-a-service）が、Google Play ストアを利用してAndroidアプリの汚染版を作成している。 

そのRATの名は「Cellik」。モバイルセキュリティベンダーiVerifyのリサーチフェローであるDaniel Kelleyが今週公開した調査で取り上げられた。Androidマルウェア自体は目新しいものではないが、このRATが際立つのは、侵害された標的に対する端末の完全制御といった標準的な高機能に加え、攻撃者が正規のアプリに同梱できるという点でGoogleのPlay ストアと統合されていることだ。 

Cellikは、「x-as-a-service」という脅威アクターの提供物の増加カテゴリの一つだ。いまやスキルの低いサイバー犯罪者でも、ランサムウェア、認証情報窃取ツール、フィッシングキット、コマンド＆コントロール（C2）基盤など、あらゆるもののターンキー版に料金を支払って利用できる。

KelleyはCellikを、Androidマルウェアにおけるより大きな潮流の一部だと述べた。この分野は成熟が進み、「いまや低スキルの攻撃者でさえ、最小限の労力でモバイルスパイウェアのキャンペーンを実行できる」段階に達しているという。

Cellik RATの仕組み

攻撃者が被害者のAndroid端末にCellikを導入できると、攻撃者は「完全な制御」を得るとiVerifyのブログは説明している。被害者の画面を攻撃者へ直接ストリーミングでき、攻撃者は端末を手に持っているかのように遠隔操作できる。 

Cellikのオペレーターは、キーロガー、画面上のすべての通知（あらゆるアプリのアラート履歴を含む）、ワンタイムパスコード、端末全体のファイルシステム、そして機微なブラウザデータ（Cookieや自動入力の認証情報など）にもアクセスできる。基本的に、ユーザーがアクセスできるものは何でも、攻撃が成功すれば攻撃者も同様にアクセスできる。 

「コントローラーは端末上のすべてのファイルを閲覧し、ファイルのダウンロード／アップロード、データの削除、さらには端末にリンクされたクラウドストレージのディレクトリにもアクセスできる。すべてのファイル転送と持ち出しは、検知を回避するため暗号化して行われる」とKelleyは書いている。さらに、「攻撃者はこの隠しブラウザを通じて、Webサイトへ遠隔で移動し、リンクをクリックし、フォームに入力できる。しかも端末の所有者は画面上でいかなる動作も目にしない」という。

これらの機能はいずれも単体ではそれほど革新的ではないが、Cellikはアプリ注入とPlay ストア機能により特に危険性が高まる。前者は、侵害された端末上の他アプリに悪意あるオーバーレイ（偽ログイン画面など）を重ね、認証情報を収集できるようにする。また、アプリごとにカスタマイズ可能なインジェクタービルダーも含まれる。 

Google Playに関しては、このRAT-as-a-serviceに自動の.apkビルダーが含まれており、Google Play ストアを直接閲覧して正規アプリをダウンロードし、それらにCellikのペイロードをラップして、攻撃者が他の潜在的被害者へ配布できる形にパッケージ化できる。 

「販売者は、信頼されたアプリでペイロードを包むことでCellikがGoogle Playのセキュリティ機能を回避でき、実質的にPlay Protectの検知を無効化できると主張している」とKelleyは書いている。「Google Play Protectは通常、未知または悪意あるアプリを検知するが、人気アプリのパッケージ内に隠されたトロイの木馬は、自動レビューや端末レベルのスキャナーをすり抜ける可能性がある」

KelleyはDark Readingに対し、こうした悪意あるアプリは通常、ユーザーがサイドロードしがちな場所で配布されると語っている。「いったんインストールされると、バックグラウンドで静かに動作し、攻撃者のシステムに接続する。エクスプロイトには依存せず、ソーシャルエンジニアリングとユーザーの信頼だけに頼っている」

要点と、Cellikへの防御

iVerifyのブログは、他のRATも購入者に似た機能を提供している一方で、CellikはPlay ストア機能と、月額150ドルから生涯サブスクリプション900ドルまでという価格に対する機能の幅広さが際立っていると説明している。 

防御側にとっては、モバイルセキュリティ製品がCellikのようなマルウェアを検知できる場合もあるが、最善の助言は、ソーシャルエンジニアリングの手口を常に最新のものとして把握し、ダウンロードするものに注意することかもしれない。

「悪意あるアプリへの曝露を最小化するため、公式のアプリストアに限定してください。絶対に必要でない限りサイドロードは避け、どうしてもAPKを手動でインストールする必要がある場合は、事前にハッシュと署名を検証してください」とKelleyは言う。「また、［EDR（エンドポイント検知・対応）］ソリューションを導入しておくことも有効で、ユーザーがダウンロードを開始した時点で問題を検知し、万一悪意あるアプリが入り込んだ場合でも早期に影響を抑えられる」