Arsinkは、個人データを盗み、ハッカーが離れた場所からスマホを操作できるようにする、狡猾なAndroidマルウェアです。
このリモートアクセス型トロイの木馬(RAT)は、盗んだ情報を送信するためにGoogle Drive、Firebase、Telegramといった無料のクラウドツールを利用します。
Zimperiumは数か月にわたり1,216個の固有APKファイルを追跡し、そのうち774個が大容量ファイルのアップロードにGoogle Apps Scriptを使用していました。さらに、317のFirebase制御サーバーと、143か国にわたる45,000件の被害者IPアドレスを確認しました。
ハッカーはTelegramチャンネル、Discord投稿、そしてMediaFireリンクを通じてArsinkを拡散します。Google、YouTube、WhatsApp、Instagram、TikTok、Facebookなど、50以上のブランドの人気アプリを偽装します。
ファイル名には「mod」や「pro」版のような名称が付けられ、無料でアップグレードできると思わせてユーザーを誘い込みます。アプリはインストール直後から広範な権限を要求し、その後は姿を隠して密かに動作します。実際の機能はなく、スパイ行為だけを行います。
Arsinkは端末の完全なスナップショットを取得します。グローバルIP、機種、バッテリー、位置情報、Googleメールアドレスなどです。SMS(コード付きの新着も含む)、通話履歴、連絡先を抜き取ります。マイクで音声を録音し、クラウドに保存します。写真やファイルを一覧化してアップロード対象にします。
ハッカーは遠隔でフラッシュライトの切り替え、バイブの作動、音の再生、壁紙の変更、メッセージ表示、テキスト読み上げを行えます。
さらに通話を開始し、ファイル管理(一覧表示、フォルダ作成、アップロード、削除)を行い、外部ストレージを全消去することさえ可能です。秘匿のため、アイコンを隠し、偽の通知を伴うフォアグラウンドサービスとして動作し、サーバーへ頻繁にポーリングします。被害者は中東、アジア、アフリカ、ヨーロッパ、南北アメリカに広がっています。
感染数はエジプトが13,000件で最多、次いでインドネシア(7,000件)、イラクとイエメン(各3,000件)、トルコ(2,000件)、パキスタンとインド(各2,500件)、バングラデシュ(1,600件)、アルジェリアとモロッコ(各1,000件)となっています。インドの割合は、一般的なTelegramでのAPK共有に関連しています。
ZimperiumはGoogleと協力し、不正なFirebaseエンドポイント、Apps Script、アカウントを停止しました。
Google Play Protectは、ストア外で配布される既知のArsinkをブロックします。それでもハッカーはツールを素早く切り替えるため、端末レベルの防御が重要です。
翻訳元: https://cyberpress.org/arsink-rat-targets-android/