新たに確認されたAndroidマルウェアキャンペーンでは、最近登録されたドメイン上でホストされる欺瞞的なウェブサイトを悪用し、強力なリモートアクセス型トロイの木馬(RAT)である SpyNoteを配布していることが観測されました。
これらのウェブサイトは正規のGoogle Playストアのアプリページを模倣しており、人気アプリをインストールするかのように見せかけて、感染ファイルをダウンロードさせることを狙っています。
偽アプリページが強力なAndroid RATを拡散
研究者らは、これらのサイトに、想定されるアプリページのスクリーンショットを表示する画像カルーセル、「インストール」ボタン、さらにはTikTokのAndroidパッケージを参照するコードの痕跡といった要素が含まれていることを発見しました。
模倣されたインストールボタンをクリックするとJavaScriptが実行され、悪意のあるAPKファイルのダウンロードが自動的に開始されます。
インストールされると、ドロッパーAPKは隠し機能を実行して、埋め込まれた2つ目のAPKを展開します。この二次ペイロードには SpyNoteの中核機能が搭載されており、ハードコードされたIPアドレスとポートを用いてコマンド&コントロール(C2)サーバーと通信できるようになります。C2パラメータはマルウェアのDEXファイルに埋め込まれており、動的接続とハードコード接続の両方をサポートします。
Androidマルウェアの配布手口について詳しく読む:ToxicPandaマルウェアがAndroid端末の銀行アプリを標的に
広範な機能を備えた多機能マルウェア
SpyNote マルウェアは、脅威アクターに対して、次のような幅広い監視・制御機能を提供します。
- SMS、通話履歴、連絡先の傍受
- カメラとマイクの遠隔起動
- 認証情報や2FAコードを含むキーストロークの記録
- GPS位置情報の追跡
- 通話の録音
- 追加アプリのダウンロードとインストール
- アクセシビリティサービスの悪用による削除妨害
- 端末の遠隔ワイプまたはロック
これらの機能の多くは、攻撃的な権限要求によって有効化されており、その一部は端末の再起動後もマルウェアが生き残ったり、存在を完全に隠したりすることを可能にします。
「SpyNoteは持続性の高さで悪名高く、完全に削除するには工場出荷時リセットが必要になることが多い」と、新たなキャンペーンを発見したDomainToolsは説明しました。
中国との関連が疑われる
マルウェア本体および配布インフラ内の証拠から、中国語のコードの存在や中国語の配布サイトの使用など、中国拠点の可能性が示唆されています。ただし、決定的な帰属は行われていません。
このマルウェアは過去に、インドの防衛関係者を標的としたスパイ活動キャンペーンと関連付けられており、OilRig(APT34)やAPT-C-37といった高度持続的脅威(APT)グループとも関連があるとされています。
画像クレジット:JarTee / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/spynote-malware-targets-android/
