TokyoBlackHatNews

gbhackers.com 4分で読了

Arsink RATがAndroidデバイスを標的に機密データを窃取し、リモートアクセスを可能に

ArsinkはクラウドネイティブなAndroid向けリモートアクセス型トロイの木馬(RAT)で、機密データを盗み、感染したデバイスに対して攻撃者に深い制御権を与えます。

いくつかのビルドでは、より大きなメディアがGoogle Apps Script経由でGoogle Driveに送信される一方、別のバージョンではFirebase Realtime Database(RTDB)とFirebase Storageに依存し、場合によっては迅速な持ち出しのためにTelegramと組み合わせられています。

このキャンペーンは顕著な規模で運用されています。アナリストは観測期間中に1,216件の異なるAPKハッシュを特定しており、多数の再パッケージ化されたビルドと頻繁な入れ替わりが示唆されます。

このキャンペーンを追跡している研究者によると、信頼されているクラウドおよびメッセージングプラットフォームを悪用してコマンド&コントロール(C2)通信を隠蔽し、盗んだファイルを移動させる複数の亜種が観測されたといいます。

このうち774サンプルにはGoogle Apps Scriptまたは「マクロ」のアップロードロジックが含まれており、メディアやファイル転送にGoogleサービスが大きく利用されていたことを裏付けています。

期間中に見つかったサンプルを示す(出典:zimperium)。

研究者はまた、C2またはデータの受け皿として使用された317件の固有のFirebase RTDBエンドポイントを数え、インフラの列挙により約45,000件の固有の被害者IPアドレスが復元されました。

Arsink RAT脅威の概要

Arsinkは単一のエクスプロイトチェーンではなく、主にソーシャルエンジニアリングによって拡散します。悪意のあるAPKはTelegramチャンネル、Discordの投稿、そしてMediaFireのようなサービス上でホストされた直接ダウンロードリンクを通じて共有されます。

このキャンペーンでなりすましに利用されたブランド(出典:zimperium)。

誘い文句はGoogle、YouTube、WhatsApp、Instagram、Facebook、そしてTikTok など50以上の著名ブランドになりすまし、マルウェアを実在アプリの「mod」「pro」「premium」版として提示することがよくあります。

多くの場合、アプリは正当な機能がほとんど、あるいはまったくなく、最小限のUIしか表示せず、バックグラウンドで静かに動作する前に機微な権限を素早く要求します。

研究者は観測されたサンプルを4つの運用バリアントに分類しました。RTDBに構造化されたテレメトリを保存しつつ、より大きなコンテンツをApps Script経由でアップロードするFirebase+Apps Script/Driveバリアント、盗んだデータを攻撃者管理のボットへ直接送信するTelegram持ち出しバリアント、アプリのアセットから二次APKを抽出する埋め込みペイロード型ドロッパーバリアントです。

インストールされると、Arsinkはデバイス識別子、パブリックIP、大まかな位置情報テキスト、そしてデバイス上で見つかったGoogleアカウントのメールアドレスを収集できます。

また、SMSメッセージ、通話履歴、連絡先を盗み、マイク音声を録音したり、外部ストレージ上の写真やファイルを列挙したりすることも可能です。

緩和策

リモートコマンドには、フラッシュライトの切り替え、端末のバイブレーション、メッセージ表示、テキスト読み上げ、ファイル操作、通話の開始、さらには外部ストレージの消去まで含まれます。

最も大きな集中は エジプト(約13,000台)、 インドネシア(約7,000台)、 イラク(約3,000台)、 イエメン(約3,000台) および トルコ(約2,000台)で観測されました。

顕著なクラスターは パキスタン(約2,500台)、 インド(約2,500台)、 バングラデシュ(約1,600台)にも見られ、さらに アルジェリア や モロッコ (各約1,000台)といった北アフリカ諸国の地域にも見られます。

設定不備のあるC2データベースから抽出された被害者IPの地理的分布(出典:zimperium)。

Googleも、既知のArsinkバージョンは Google Play上には存在しないと述べており、Play ProtectはPlayストア外からインストールされたものを含め、不審なアプリを警告またはブロックできます。

ステルス性と永続性のため、ランチャーアイコンを隠し、永続的な通知を伴うフォアグラウンドサービスを実行することができます。

zLabsは、悪用の報告と、悪意のあるFirebaseエンドポイントおよびApps Scriptインフラの妨害のためにGoogleと連携したと述べています。

しかし防御側は、亜種の急速な変化と柔軟な持ち出し経路により、ユーザーは依然として、サイドロードされた「mod」APKを避け、チャットアプリ内のブランド名を冠したダウンロードリンクを高リスクとして扱うなど、強固なデバイスレベルの衛生管理が必要だと警告しています。

翻訳元: https://gbhackers.com/arsink-rat/

ソース: gbhackers.com
#Androidマルウェア #Arsink RAT #Firebase Realtime Database(RTDB) #Google Apps Script #Telegramによるデータ流出 #クラウド悪用 #ソーシャルエンジニアリング #リモートアクセス型トロイの木馬(RAT) #偽装アプリ(mod・premium) #情報窃取(SMS・通話履歴・連絡先)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚