最近の発見では、BeatBankerマルウェアキャンペーンが発覚し、Androidデバイス上で永続性を維持するための独特な方法を使用しています。
このマルウェアは主にブラジルのユーザーを狙うもので、銀行認証情報を盗むだけでなく、暗号通貨取引をハイジャックし、バックグラウンドで暗号マイナーを実行します。
BeatBankerが特に懸念される理由は、検出を回避するためにオーディオループを使用し、感染デバイス上で延長期間にわたってアクティブに保つことです。
BeatBanker攻撃はソーシャルエンジニアリングトリックから始まります。攻撃者は信頼できるブラジル政府アプリであるINSS Reembolsoに偽装した悪意のあるアプリをダウンロードするよう被害者を誘い込むために、Google Playストアに非常によく似た偽のウェブサイトを作成します。
偽のアプリはユーザーにインストール許可を与えるよう促し、ユーザーが知らないうちに自分のデバイスにマルウェアをダウンロードするよう仕向けます。
悪意のあるAPKには、別のELFファイルを復号化する共有ライブラリ(libludwwiuh.so)が含まれており、その後DEXファイルをロードします。この方法により、マルウェアはファイルシステムに保存されることなく実行でき、従来のアンチウイルスソフトウェアによる検出を回避できます。
実行されると、マルウェアはGoogle Playストアのようなインターフェースを表示し、INSS Reembolsoアプリが更新を必要としていると被害者に思わせます。
ユーザーは「更新」ボタンをクリックするよう仕向けられ、その後暗号通貨マイナーペイロードが静かにダウンロードされます。このペイロードはXMRigマイナーで、マイニングプールに接続してMonero暗号通貨をマイニングし、被害者のデバイスのリソースとバッテリーを消費します。
マルウェアは革新的な永続性技術を採用しています。ほぼ聞き取れないオーディオファイルをループで再生します。このループにより、デバイスがメディアを再生していると考えるため、オペレーティングシステムが悪意のあるプロセスを終了することを防ぎます。
この戦術により、システムがアイドル状態になった場合でも、マルウェアが被害者のデバイスでアクティブなままになります。オーディオファイルはわずか5秒の長さです。中国語の単語が含まれているため、通常のユーザーの行動を通じて検出することが困難です。
この洗練されたマルウェアキャンペーンは、攻撃者が常にテクニックを革新し、検出を回避するための新しいツールと戦略を使用する方法の一例です。
組織とSecurelistの個人は警戒を続け、進化する脅威から機密の財務および個人データを保護するための強固なセキュリティ対策を実装する必要があります。
翻訳元: https://cyberpress.org/beatbanker-targets-crypto-wallets/