Android エコシステム向けに明確に設計された新しいRemote Access Trojan(RAT)であるOblivionを宣伝する広告が、公開アクセス可能なハッカーフォーラムに登場しました。Certoの研究者たちは、この発表、付属するウェブパネル、およびこのツールの運用能力を示すビデオデモンストレーションを綿密に分析しました。その説明とプロモーション映像から判断すると、Oblivionは最小限の技術的知識を持つクライアント向けに細心に設計されています。悪意のあるペイロードは直感的なビルダーを通じて合成され、支配下にある携帯電話は合理化されたウェブインターフェースを通じて操作されます。
ベンダーはOblivionを独自のスタンドアロン製品として誇らしげに紹介しており、地下市場に満ちている典型的で二流的なフランケンシュタインビルドとは明確に区別しています。マニフェストは、公開デビューの前に、Oblivionは4ヶ月以上の厳密な実世界フィールドテストを経て、システムクラッシュや動作検出なく完全に機能したと主張しています。
この悪質なツールへのアクセスは厳密にサブスクリプションベースで販売されており、料金スケジュールはフォーラムスレッド内に明確に表示されています。ソースコードは厳しく守られており、購入者には支払期間中のツールとその機能スイートへのアクセスのみが与えられます。
スレッド内に公開されている料金体系は以下の通りです:1ヶ月のサブスクリプションは$300、3ヶ月は$700、6ヶ月は$1,300、1年間のアクセスは$1,900、永久的なライフタイムライセンスは$2,200で提供されています。
ソフトウェアスイートはAPKファブリケーターを組み込んでおり、ユーザーはコーディング専門知識がなく悪意あるアプリケーションを完全に作成することができます。ウェブパネルを通じて、アプリケーションの名前、アイコン、配置方法を容易に操作できます。デモンストレーションは、特にGoogle Servicesなどの正当なシステムコンポーネントとしての欺瞞的な偽装を強調しています。そのステルスモードはアプリケーションをユーザーインターフェースなしでコンパイルし、バックグラウンドで密かにアクセス許可を要求しようとします。
離散的なモジュールはドロッパーコンストラクターとして機能します。これは被害者にプライマリペイロードの配置を促すために設計されたインストーラーです。ビデオデモンストレーション内では、このドロッパーは非常に説得力のある偽造Google Playアップデートインターフェースを示しています。アプリケーションカード、命令的な「アップデートが必要です」通知、およびユーザーに不確認ソースからのインストール承認を導く段階的な指示です。このソーシャルエンジニアリング作戦は古いものですが、その実行ここでは特に洗練されています。画面はネイティブシステム通知を完璧に模倣し、ユーザーがオペレーティングシステムからのアップデートプロンプトに反応する本能的な反射を悪用しています。
Oblivionの最も重大な主張される能力は、アクセス許可の操作を中心としています。インストール後、ベンダーはトロイの木馬がユーザーインタラクションの必要性を完全にバイパスして機密アクセス許可を自動的に収集すると主張しています。標準的なAndroidパラダイムの中では、そのようなアクセス許可は手動で付与される必要があり、アクセシビリティサービスへのアクセスはほぼ間違いなく明示的な二次確認を要求します。しかし、Android 15で実施されたデモンストレーション内では、通常のアクセス許可リクエストダイアログは著しく不在です。
さらに、ベンダーは、この回避技術は修正されていないAndroid環境だけでなく、以下を含む補助セキュリティ装置で強化された大幅にカスタマイズされた一般的なインターフェースにも効果的であると主張しています。
- MIUI / HyperOS(Xiaomi)
- One UI(Samsung)
- ColorOS(OPPO)
- MagicOS(Honor)
- OxygenOS(OnePlus)
アクセシビリティサービスへのアクセスは非常に危険です。これはアプリケーションにユーザーインターフェースに対する幅広い権限を与えるからです。このアクセスを備えた悪意あるコードは、異なるアプリケーションのコンテンツを参照でき、インターフェース要素を操作でき、テキストを入力でき、キーストロークをインターセプトでき、システム的に通知を抑制できます。最も重要なことに、アクセス許可をリクエストする非常にダイアログも含まれます。Googleの段階的なアクセシビリティ規制の強化を考えると、Oblivionがこれらの制約をAndroidの最新バージョンでバイパスできるという主張は特に懸念されるものです。
Oblivionのリモート管理アーキテクチャはVNCに基づいており、リモート画面観察と制御を促進するテクノロジーです。文献とデモンストレーションはHVNCモード(Hidden Virtual Network Computing セッション)を顕著に特徴としています。このパラダイムの下では、携帯電話の正当な所有者は無害な「システム更新中…」スプラッシュ画面を表示され、同時に攻撃者は離散化された、見えないセッション内でデバイスを操作し、その工作が被害者にはまったく知覚できないことを保証しています。このファサード画面は高度にカスタマイズ可能で、HyperOSアップデート、アンチウイルススキャン、またはその他無数のロードシーケンスをシミュレートすることができます。
ベンダーはまた、銀行アプリケーション暗号通貨ウォレットの防御境界を回避するために設計されたと思われる特殊な「スクリーンリーダー」モードを強調しています。そのようなアプリケーションはしばしばスクリーン キャプチャを妨害するメカニズムを採用しており、記録試みの際に真っ黒な画面を提供します。アクセシビリティサービスによって提供される制御と相乗していると、このモードは理論的には外部観察からそれらのコンテンツを隠すために細心に設計されたアプリケーションからのデータ抽出を合理化します。
データ収集機能のアーセナルは、財務的に動機付けられた脅威アクターの標準的な食欲に対して予測通り調整されています。
-
SMS インターセプション: メッセージ読み取り、送信、ブロック、インターセプトの能力。特に二要素認証コードを含む。
-
プッシュ通知操作: デバイス所有者からの通知、特に金融機関からの通知をインターセプトして隠す能力。
-
キーストロークロギング: すべての触覚入力のリアルタイム記録。パスワード、PIN、およびその他の機密データを含む。
-
ファイルシステムおよびアプリケーション監査: 専用管理パネルを通じて促進される包括的なアクセス。
-
リモートアプリケーション管理: アプリケーションの密かな実行と排除。
-
自動ロック解除: インターセプトされたPIN、パスワード、または複雑なパターンロックを使用して、リブート後のデバイスの自動ロック解除。
ベンダーはOblivionの根本的な排除耐性に特に強調しています。マニフェストはアクセス許可の取り消しを阻止し、アプリケーションのアンインストールを妨げ、アクセシビリティサービスを無効にするための試みを麻痺させるために設計されたメカニズムの詳細を説明しています。さらに異なるメーカーが慣用的にAndroidを修正し、独自のセキュリティ層をオーバーレイする事実を強調しており、多くのRemote Access Trojansを特定のモデルで急速に時代遅れにする現実があります。Oblivionはベンダーが主張するように、その寿命を保証します。洗練された自己回復プロトコル、アイコン難読化、およびプロセス偽装を通じて、デバイス上で数ヶ月間存続します。
そのサーバーサイドインフラストラクチャに関して、ソフトウェアはプリポーテッドに1,000を超える同時セッションをサポートし、Torなどの匿名化ネットワークを通じてルーティングされた場合でも完全に機能したままです。
Certoは、Oblivionが特にアクセシビリティサービスの搾取を通じて、Googleが多くの年を費やしたそれらの防御の境界に直接攻撃していることを強調しています。このツールが手動のアクセス許可認可なしで確かに制御を確保する場合、危険は指数関数的に上昇します。最も現在のAndroidイテレーションを実行しているユーザーの場合でさえ。
防御、第一に、そして最も重要なのは、Google Playの出所外のアプリケーションをインストールするための不動産な拒否に基づいています。RAT感染の大部分は、検証されていない、第三者のソースからダウンロードされたAPKから発生します。不正なアップデート画面は配信の主要なベクトルとして耐えます。その結果として、公式マーケットプレイス外のアプリケーションを更新するための任意のご招待は、危険の轟くサイレンとして扱われなければなりません。特に、未知のソースからのインストール承認を要求するプロンプトの場合。Android設定内でアクセシビリティの特権を所有しているアプリケーションのロスターを定期的に監査し、不慣れなアプリケーション、またはそのような深い許可の正当で実証可能な要件が不足しているアプリケーションからのアクセスを容赦なく取り消すことが非常に推奨されます。第三者のAPKのインストール直後に突然予期しないアップデートまたはロード画面の意外な出現も同様に激しい疑いを引き起こすべきです。最も慎重なのは行動は即座に携帯電話をシャットダウンし、堅牢なセキュリティプロトコルを使用した厳密な検査にそれを従わせることです。
翻訳元: https://meterpreter.org/oblivion-malware-hijacks-android-15-with-unprecedented-stealth/
