出典: calado via Alamy Stock Photo
新たなマルウェアファミリーが、スパイウェア、監視、情報窃取機能をパッケージ化し、大衆市場の犯罪者向けに提供されています。
これは、モバイルセキュリティベンダーの iVerify が本日公開した「ZeroDayRAT」に関する新しい研究によるもので、スパイウェアファミリーが Telegram 上で公然と販売されています。購入者は、販売、カスタマーサポート、プラットフォームの更新用のチャンネルを備えた、開発者への直接アクセスを提供するパネルにアクセスできます。
この種のキャンペーンでは典型的なように、ZeroDayRAT は悪意のあるバイナリ(Android 用の APK、iOS 用のペイロード)を通じて、一般的にはソーシャルエンジニアリングを介して被害者に到達します。「最も一般的な方法はスミッシングです。被害者はリンク付きのテキストメッセージを受け取り、正規のアプリに見えるものをダウンロードしてインストールします」と、iVerify の脅威研究担当のDaniel Kelley 氏は書いています。「フィッシングメール、偽のアプリストア、WhatsApp や Telegram で共有されたリンクも同様に機能します。」
このスパイウェアは、ユーザーの認証情報や金融データを窃取できますが、それだけではありません。ZeroDayRAT は、リアルタイムの監視を実行できます。国家主体に販売される最先端のゼロデイエクスプロイトほど高度ではないかもしれませんが、実装されている機能は商用スパイウェアにある程度似ています。
組織に対して悪用された場合、攻撃者は従業員のモバイルデバイスを完全に制御できるようになります。これは、リモートワークフォースにとって潜在的に壊滅的な脅威となります。
「企業にとって、侵害された従業員のデバイスは、認証情報の窃取、アカウント乗っ取り、データ流出のベクトルです」とブログ投稿には書かれています。「個人にとっては、プライバシーの完全な喪失と直接的な財務的リスクを意味します。モバイルデバイスのセキュリティは、エンドポイントやメールのセキュリティと同じ緊急性を持って扱われる必要があります。」
ZeroDayRAT がモバイルデバイスに感染した場合
研究ブログによると、このマルウェアのサポートは Android 5 から 16 まで、および iOS 26 までに及びます。攻撃者には技術的な専門知識は必要ありません。
脅威アクターがターゲットのデバイスに侵入すると、デバイスモデル、SIM、位置データ、キャリア情報、ライブアクティビティタイムライン、最近の SMS メッセージのプレビューなど、電話の構成の完全な概要にアクセスできます。Google、Amazon、ソーシャルメディアなど、デバイスに登録されているすべてのアカウントも同様に列挙され、詳細が表示されます。
これは、完全なプロファイルを構築するのに十分であり、Kelley 氏は「基本的に、攻撃者がアカウント乗っ取りを試みたり、標的型のソーシャルエンジニアリングを開始したりするために必要なすべてのものです」と書いています。
これらの機能には、SMS の完全な制御(メッセージの送信機能を含む)が付属しており、多要素認証(MFA)を効果的に迂回します。また、キーロガー、マイク音声、画面レコーダー、バンクスティーラー、暗号通貨スティーラーもあります。
Kelley 氏は Dark Reading に対し、ZeroDayRAT は「教科書的なストーカーウェア」だと語っています。
「これは、ジャーナリスト、活動家、家庭内暴力の被害者を、誰が操作しているかに応じて、すべて実行可能なターゲットにします」と彼は言います。「緩い BYOD ポリシーを持つ企業も、特にモバイルデバイス管理や厳格なアプリ審査がない場合はリスクがあります。被害者のプロファイルは完全に購入者に依存しますが、価格帯と機能セットは、常に特定の誰かが念頭に置かれていることを示唆しています。」
モバイル RAT の新しい展望
市場で売買できる多くのマルウェアキットは数百ドル相当で購入できますが、Kelley 氏によると、完全アクセスのしきい値は 2,000 ドルであり、従来の「スクリプトキディ」の領域外に置かれています。この価格帯の理由は、機能セットが「包括的」であり、iOS デバイスを侵害できると主張しているため、平均以上の野心を示しています。
高価格にもかかわらず、金銭的動機を持つオペレーター、私立探偵、およびリソースを持つその他の購入者が、セキュリティベンダー AttackIQ の敵対者研究チームのエンジニアリングマネージャーである Andrew Costis 氏によると、監視マルウェアのターゲット市場を拡大しています。
「リスクの観点から見ると、これは国家レベルの能力と犯罪経済の融合を表しています」と Costis 氏は言います。「かつて高コストで標的化されたインテリジェンス作戦に限定されていた機能が、ますます商品化され、金銭的動機を持つアクター、内部脅威、または非対称的な優位性を求める競合他社にアクセス可能になっています。最も可能性の高い短期的な被害者は中小企業と個人ユーザーのままですが、同じツールは、幹部のターゲティング、モバイルデバイスの侵害、またはサプライチェーンアクセスパスを通じて企業に対して転用される可能性があります。」
ZeroDayRAT に対抗するために、組織はモバイルエンドポイントセキュリティツールを検討できます。また、脅威アクターがソーシャルエンジニアリングを悪用してモバイルマルウェアを拡散する方法に精通することを優先する必要があります。
翻訳元: https://www.darkreading.com/threat-intelligence/zerodayrat-brings-commercial-spyware-to-mass-market
