イランのAndroidユーザーは、deVixorによる組織的なサイバー攻撃に直面している。この高度なバンキングマルウェアは、金融窃取、ランサムウェア暗号化、および継続的な端末監視を単一の悪性プラットフォームに統合した、フル機能のリモートアクセス型トロイの木馬へと成熟した。
このマルウェアは、正規の自動車関連事業者になりすます巧妙なフィッシングサイトを通じて拡散し、被害者を大幅に割引された車両オファーで誘い込む。
これらの不正サイトは悪意のあるAPKファイルを配布し、インストールされると直ちに、SMSへのアクセス、連絡先リスト、ファイルシステムへのアクセス、Androidのユーザー補助サービス機能など、広範な権限を要求する。
2025年10月から活動しており、サイバーセキュリティ研究者は700件を超えるマルウェアサンプルを記録している。これらは、基本的なSMS収集から高度なバンキング詐欺の仕組みへと急速に進化していることを示している。
このマルウェアはWebViewベースのJavaScriptインジェクションを用いて、被害者が正規の銀行インターフェースにアクセスした際に認証情報を傍受する。同時に最大5,000件のSMSメッセージをスキャンし、イランの金融機関に関するワンタイムパスワード、口座残高、決済カード番号を抽出する。
遠隔から起動されるランサムウェアモジュールは、侵害された端末をロックし、50 TRXの暗号資産での支払いを要求できる。
このマルウェアはコマンド配信にFirebaseを、管理にはTelegramベースのボット基盤を活用しており、攻撃者が従来の検知メカニズムを回避しつつ大規模に感染を組織化できるようにしている。
脅威アクターが運用するTelegramチャンネルからは、同時に侵害された端末が数百台にのぼることが明らかで、各端末には個別のきめ細かな制御のために固有のBot IDが割り当てられている。
このキャンペーンは意図的な地域特化を示しており、Bank Melli Iran、Bank Mellat、Bank Tejaratなどのイランの銀行、およびRamzinex、Exir、Tabdealといった国内暗号資産取引所のみを標的としている。言語的痕跡とペルシア語のフィッシング用オーバーレイが、地理的な焦点を裏付けている。
技術分析により、deVixorの包括的な監視能力が示されている。連絡先データベースの収集、キーストロークの記録、スクリーンショットの取得、プレミアム番号へのSMS送信、アプリのアンインストール阻止、存在を隠すためにYouTubeを装うこと、Google Play Protectの無効化などが可能だ。
Cybleによれば、このマルウェアはBOOT_COMPLETEDのブロードキャストレシーバーとフォアグラウンドサービスを通じて永続性を維持する。
セキュリティ専門家は、アプリを公式ソースからのみインストールすること、操作前にURLを綿密に確認すること、金融サービスで多要素認証を有効にすること、信頼できるモバイルセキュリティソリューションを導入すること、そしてAndroid OSを最新の状態に保つことを推奨している。
侵害が疑われるユーザーは、直ちに金融機関へ連絡し、すべての認証情報をリセットし、永続的なマルウェア構成要素を根絶するために端末を工場出荷時設定にリセットすべきである。
翻訳元: https://cyberpress.org/android-users-devixor-banking-malware-ransomware/