TokyoBlackHatNews

darkreading.com 4分で読了

AndroidのSMS窃取マルウェアにより攻撃を受けるウズベキスタンのユーザー

Image

出典:Alamy Stock Photo提供のMehmetO

ウズベキスタンのユーザーがAndroidのSMS窃取マルウェアの標的となっており、こうした手口はかなり以前から続いています。

これはサイバーセキュリティベンダーのGroup-IBによる調査結果です。同社は12月19日、研究者が10月から始まった、ウズベキスタンのユーザーを狙う新たなマルウェア攻撃の波を観測したと発表しました。同社によれば、この攻撃の波には複数の脅威グループが関与しており、TrickyWonders、Blazefang、Ajinaなどが含まれます。

感染した端末に紐づく金銭や認証情報を盗むために使われるこのマルウェアは、APKファイルとして配布され、サイドロードする安全なアプリとして提示されたり、Telegram経由で送られたりします。後者の場合、攻撃者が標的のAndroid端末と電話番号にアクセスできると、脅威アクターは被害者のTelegramアカウントへのログインを試み、端末の連絡先リストにいるユーザーをだましてマルウェアをインストールさせ(その結果、拡散させ)ようとします。 

Group-IBによれば、このようなTelegramを利用した手法(およびダークウェブで盗まれた認証情報を購入するだけの手口)は、ウズベキスタンでTelegramが主要なインスタントメッセージングプラットフォームであるため、攻撃者に特に好まれています。

攻撃者が使用しているのは、SMS窃取マルウェア「Wonderland」、ドロッパーマルウェア「MidnightDat」、AESベースのドロッパー「RoundRift」、金銭窃取マルウェア「Ajina.Banker」、そしてSMS窃取マルウェア「Qwizzserial」などであることが確認されました。 

このマルウェアや他の最近の事例が示すとおり、Androidの脅威エコシステムは依然として活発で、ソーシャルエンジニアリングや危険なAPKを使って手っ取り早く金を得ようとする攻撃者であふれています。 

Androidマルウェア・キャンペーンの内側 

攻撃者ごとに使用するツールセットは異なるものの、大枠は同じでした。攻撃者は盗んだTelegramのアクセス権を使い、別のユーザーに悪意のあるAndroidアプリをインストールさせるようだまします。これらのアプリは銀行情報を盗み、さらに攻撃者の到達範囲を拡大するためにも利用されます。 

Group-IBの調査チームが指摘したように、WonderlandのようなSMS窃取マルウェアは、被害者の環境で目立たず潜伏するため特に危険です。 

報告書によれば、「マルウェアがインストールされると、攻撃者が端末へのアクセスを失うまで、被害者のカードから繰り返し資金を引き出すことができる」としています。「このマルウェアはGoogle Playなどの正規アプリになりすましたり、あらかじめ設定されたWebサイトを即座に起動するカスタムアプリとして表示されたりすることが可能です。必要な権限を取得した後には、アプリが削除されているとユーザーに思い込ませる欺瞞的な『アンインストール』プロンプトを表示することもできます。」

この種の攻撃は数年前から続いていますが、最近の波では端末感染数が大幅に増加したとGroup-IBは見ており、その要因として配布手法と難読化手法の双方が大きく改善されたことを挙げています。 

まず、攻撃者はマルウェアを直接配布するのをやめ、代わりに一見クリーンで無害に見えるものの、窃取機能を深部に埋め込んだドロッパーを使用しました。これらのドロッパーは多くの標準的なセキュリティチェックを通過し、「早期検知をより困難にする」とされています。

今回の最新キャンペーンで使用されたマルウェアには強力な難読化技術も含まれており、「意図的に…混乱させる」コードや、研究者が容易にサンドボックス化や解析を行えないようにする特定の機能が用いられています。 

最後に、攻撃者はインフラのドメインや悪意のあるパッケージ名を定期的に変更しており、監視やブラックリスト化をはるかに複雑にしています。研究者は、この新しい感染チェーン全体を「キャンペーンの運用成熟度における大きな飛躍」と呼びました。

サイバー防御側が身を守る方法

Group-IBの報告書は、脅威アクターが防御側に適応するスピードの速さも強調しています。

研究者は次のように述べています。「この地域における新たなマルウェア開発の波は、Android端末を侵害する手法が単に高度化しているだけでなく、急速なペースで進化していることを明確に示しています。攻撃者はツールを積極的に適応させ、配布、活動の隠蔽、感染端末の制御維持に関する新たなアプローチを実装しています。」

組織に対してGroup-IBは、資金が盗まれる前に感染や不審な活動を検知するため、ユーザーセッション監視ツールや脅威インテリジェンスサービスの活用を推奨しました。個人に対してアナリストは、金融アプリ内の通知に細心の注意を払うこと、銀行情報を平文やメッセージングアプリに保存しないこと、そして「端末が感染している疑いがある場合は、インターネットから切断し、工場出荷時設定にリセットすることを推奨する」と助言しています。

Dark Readingは追加情報を得るため、Group-IBに連絡を取っています。 

翻訳元: https://www.darkreading.com/cyber-risk/uzbek-users-android-sms-stealers

ソース: darkreading.com
#Androidマルウェア #APKサイドロード #Group-IB #SMSスティーラー #Telegram悪用 #ウズベキスタン #ドロッパー #バンキング型マルウェア #脅威インテリジェンス #難読化

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開