アプリケーションを変更する代わりにランタイム環境を操作するAndroid攻撃技術が新たに発見されました。
CloudSEK研究者により発見されたこの方法は、LSPosedフレームワークを使用してシステムレベルのプロセスに干渉し、正当な決済アプリのコードを変更したり標準的なセキュリティチェックをトリガーしたりすることなく、これらを乗っ取ることを可能にします。
このアプローチは再パッケージされたAPKに依存していた以前の攻撃とは異なります。代わりに、基盤となるオペレーティングシステムをターゲットにし、悪意のあるモジュールがアプリとデバイス間の通信を傍受して変更することを可能にします。その結果、アプリシグネチャーは有効なままであり、Google Play Protectなどの保護はバイパスされます。
この技術は「Digital Lutera」として知られるモジュールに関連付けられており、このモジュールはAndroid APIを利用してSMSメッセージを傍受し、デバイス識別情報を偽装し、リアルタイムで二要素認証(2FA)データを抽出します。
SIMバインディングとシステムAPIの悪用
攻撃の中心は、モバイル決済システムで使用される主要なセキュリティ機能であるSIMバインディングの破壊です。このプロセスは通常、銀行口座が物理的なSIMカードとデバイスに関連付けられていることを保証します。
攻撃者はこのメカニズムを以下の方法で破壊します:
-
SMS認証トークンを傍受する
-
システムAPIを介して電話番号を偽装する
-
デバイスデータベースに偽のSMSレコードを注入する
-
リアルタイムコマンドサーバーを使用してアクションを調整する
侵害されたユーザーデバイスと操作された攻撃者デバイスを組み合わせることにより、詐欺師は銀行サーバーをユーザーのSIMが別の場所に存在していると信じさせることができます。これにより、不正なアカウントアクセスとトランザクション承認が可能になります。
モバイル決済セキュリティについてさらに詳しく:Ghost Tap マルウェアがリモートNFC決済詐欺の急増を引き起こす
大規模詐欺リスク
CloudSEKは、この方法が実質的な影響を持つことに留意しました。これにより、リアルタイム詐欺オーケストレーションと拡張可能なアカウント乗っ取りが可能になり、攻撃者はユーザーの認識なしに決済PINをリセットして資金を移送できます。
この操作に関連するアクティビティはTelegram上でも観察されており、攻撃者が傍受されたログインデータを共有し、アクセス試行を調整しているようです。研究中に分析されたあるチャネルには500以上のログイン関連メッセージが含まれており、この技術がすでにアクティブなキャンペーンで使用されていることを示しています。
この攻撃はまた、既存の信頼モデルの弱点も露出させます。銀行はしばしば真正性の証拠としてSMSヘッダーとデバイス信号に依存していますが、この方法はそのような仮定を効果的に破壊します。
さらに、永続的なシステムレベルのモジュールの使用により、検出と削除が困難になります。悪意のあるフックがオペレーティングシステム内でアクティブなままであるため、影響を受けたアプリを再インストールしてもその脅威は排除されません。
リスクを軽減するために、専門家はハードウェアベースの検証およびSMS配信のより厳密なバックエンド検証を含む、より強力な整合性チェックを推奨しています。デバイスが報告するデータからキャリアレベルの確認へと移行することも、この進化する脅威に対抗する上で重要と見なされています。
翻訳元: https://www.infosecurity-magazine.com/news/android-attack-bypasses-payment/
