多様な新興のAndroidマルウェア系統が出現し、ユーザーの金融資産、銀行アプリケーション、暗号資産リポジトリを積極的に狙っています。サイバーセキュリティ研究者は、従来のバンキングトロイの木馬とより多機能なリモートアクセストロイの木馬(RAT)の両方の展開を記録しており、これらはデータを流出させるだけでなくリアルタイムに近い金融取引を傍受することができます。
これらの中で最も目立つのはPixRevolutionで、ブラジルのPix決済エコシステムを悪用するために特に設計されています。Zimperiumによると、このソフトウェアはExpedia、Sicredi、Correiosの正規のGoogle Playストアフロントを装い、インストール後はAndroidのアクセシビリティ権限を乗っ取って継続的な画面監視を実行します。
ユーザーがPix送金の金額と受信者キーを指定すると、マルウェアは密かに認証情報を攻撃者のものに置き換えます。この詐欺を隠すために、偽の「お待ちください…」オーバーレイがインターフェースを覆い、一方で被害者は標準的なトランザクション確認を受け取ります。Zimperiumのアジム・ヤスワントは、このパラダイムが従来のバンキングトロイの木馬と異なることは、リモートオペレータまたは自動エージェントがトランザクションの瞬間に正確に介入することを指摘しています。
同時に、BeatBankerキャンペーンはブラジルで勢いを増しています。Kaspersky報告によると、マルウェアはGoogle Playを模倣するフィッシングサイト経由で拡散し、バンキングモジュールと秘密の暗号資産マイナーを統合しています。永続性を保つために、プログラムは独特の手法を採用しています。バックグラウンドプロセスをシステムが終了するのを防ぐため、ほぼ無音のオーディオループを再生しています。
BeatBankerはBinanceとTrust Wallet内のUSDT送金の受信者アドレスを変更する能力を持ち、ブラウザアクティビティを監視し、Firebase Cloud Messagingを介して指示を受け取ります。より最近のバージョンでは、バンキングモジュールは頻繁にBTMOB RATに置き換わります。これはシリア系の脅威アクター「EVLF」に属するCraxsRATおよびSpySolr系統の進化です。
別の発見であるTaxiSpy RATはロシアの銀行、政府、暗号資産プラットフォームの利用者を狙っています。CYFIRMAとZimperiumのインテリジェンスによると、マルウェアはSMSメッセージ、連絡先、通話ログ、クリップボード情報、ロック画面PIN、キーストロークを盗み、正規アプリケーション全体に不正なオーバーレイを表示して認証情報を詐取します。その難読化レパートリーには、ネイティブライブラリの暗号化、文字列エンタングルメント、WebSocket経由のリモートガバナンスが含まれています。
同時に、新興の「マルウェア・アズ・ア・サービス」(MaaS)オファリングがダークフォーラムとTelegramチャネル内で取引されています。Miraxは銀行侵害のためのカスタマイズされたスイートとして販売されており、OblivionはXiaomi、Samsung、OnePlusのデバイス上でのパーミッション回避を自動化できるツールとして販売され、SURXRATはArsink系統の高度な洗練版として宣伝されています。
注目すべきことに、SURXRATの一部には大規模言語モデル(LLM)モジュールが統合されており、他のバージョンはランサムウェアスタイルのスクリーンロック機能を備えています。Cybleのアナリストは、Androidマルウェア開発者が伝統的な監視ツールとAIコンポーネントを合成して、彼らの兵器の進化を加速し、最新の防御壁を回避していると主張しています。
