2025年10月、Group‑IBの研究者は、主にウズベキスタンのユーザーを標的とする新たなAndroidマルウェア攻撃の波を発見しました。このキャンペーンは、サイバー犯罪者がモバイルトロイの木馬を配布し運用する方法における大きな変化を示しています。
「純粋な」悪意あるAPKを送る代わりに、脅威アクターは現在、 ドロッパー(一見無害なアプリ)を使用しており、インターネット接続がなくても、隠されたペイロードを密かにインストールします。
これらのドロッパーは、Google Playなどの正規アプリになりすましたり、偽の動画・写真ファイルを装ったりします。インストールされると、埋め込まれたマルウェアを端末内でローカルに展開し、従来のモバイルセキュリティチェックを回避します。
彼らはシンプルなユーザーインターフェースを用い、悪意ある動作を隠すために、偽の「Update」ボタンだけを表示することも少なくありません。Group‑IBのアナリストは、アプリのassetsフォルダに隠された暗号化ペイロードを利用する MidnightDat や RoundRiftなど、複数のドロッパーファミリーを特定しました。ドロッパーは自動的に復号し、AndroidのPackageInstallerを介して最終的なマルウェアをインストールします。
脅威アクターは、シグネチャベースの検知を回避するため、アプリ名やパッケージ識別子を頻繁に変更します。
これらのAPKの配布における主要チャネルは依然としてTelegramであり、ダークウェブ市場で入手した盗難 Telegram セッションを介して行われることが多いです。侵害されたアカウントが連絡先にマルウェア混入メッセージを転送し、自動化された感染サイクルを生み出します。
このキャンペーンで最も高度な発見は、 Wonderland と名付けられた新しいマルウェアファミリーです。これは、ウズベキスタンで初めて、 双方向のコマンド&コントロール(C2) 通信を用いて大量拡散するAndroid向けSMS窃取マルウェアです。
以前の一方向型の窃取マルウェアが SMS データのみを流出させていたのに対し、WonderlandはWebSocketプロトコルを使用して、オペレーターからリアルタイムのコマンドを受信します。
これにより、攻撃者のサーバーから、SMS送信、USSDリクエストの実行、通知の非表示化といった任意の命令を実行できます。
この双方向通信により、攻撃者は銀行取引や認証に使われるワンタイムパスワード(OTP)を傍受し、通話を転送し、さらにはセキュリティアラートを抑制することさえ可能になります。
強力なコード難読化、サンドボックスやエミュレーター検知のための環境チェック、そしてドメインを頻繁に切り替える動的なC2インフラと組み合わさることで、Wonderlandは秘匿性と運用能力における大きな飛躍を示しています。
このような脅威から守るため、サイバーセキュリティ専門家は、ユーザーおよび組織に対し、端末のアクティビティを綿密に監視し、非公式ソースからAPKをダウンロードしないこと、そして不正検知や脅威インテリジェンスのツールを活用することを強く推奨しています。
感染が疑われる場合、端末をインターネットから切断し、工場出荷時リセットを実行することが、依然として最も効果的な対処手順です。
翻訳元: https://cyberpress.org/wonderland-malware/