新たに発見された Android リモートアクセストロイの木馬 (RAT) である Oblivion RAT がモバイル脅威の状況全体で懸念を高めている。
マルウェア・アズ・ア・サービス (MaaS) プラットフォームとして販売されており、サイバー犯罪フォーラムで月額 300 ドルから始まるサブスクリプション計画で販売されている。
典型的なモバイルマルウェアとは異なり、Oblivion RAT は Web ベースの APK ビルダー、ドロッパージェネレータ、およびリアルタイム コマンドアンドコントロール (C2) パネルを備えている。
Certo Software によって最初に注目され、この操作は洗練されたエコシステムで際立っており、攻撃者に侵害されたデバイスの展開、感染、制御を簡素化する完全なツールキットを提供している。
プラットフォームを分析した研究者は、動作するサンプルを取得し、インフラストラクチャにアクセスして、非常に組織的で本番環境対応の脅威を明かした。
マルチステージ感染チェーン
Oblivion RAT は、悪意のあるアプリをサイドロードするようにユーザーをだますために設計された 2 段階の感染プロセスに依存している。攻撃は通常、メッセージング アプリまたはデーティング プラットフォームを含むソーシャルエンジニアリング キャンペーンを通じて配布されるドロッパー APK で開始される。
ドロッパーには圧縮されたペイロードと、Google Play Store アップデートプロセスを模倣する 3 つの偽の HTML ページが含まれている。これらのページは完全に自己完結しており、検出を回避するためにインライン要素を使用している。
最初の画面は、「悪意のあるコードなし」および「確認済み開発者」などのメッセージを表示して、安心の「セキュリティ スキャン」を伴うダウンロード完了をシミュレートしている。2 番目のページは、偽の開発者名と目立つ「更新」ボタンを含む Play Store リスティングを模倣している。
クリックすると、Android のインストール権限がトリガーされる。最終ページでは、サイドロードを有効にするようにユーザーを案内し、それを標準的で安全な手順として提示している。
この層状の欺瞞により、ユーザーが疑いなく権限を付与する可能性が高まる。
マルウェアの 2 番目の段階は、Oblivion RAT が完全に動作可能になるときである。プラットフォームの APK ジェネレータを通じて構築されたものは、ステルスモードで実行されるか、バックグラウンドで悪意のあるアクションを実行している間は、デコイ Web ページを表示することができる。
3 番目のページは、番号付きステップ、「このソースから許可」トグル、および「これはデバイスを保護するための標準手順である」と述べた青い情報ボックスを使用して、サイドロードを有効にする方法をユーザーに案内している。
マルウェアは Android アクセシビリティサービスを大幅に悪用し、これは障害のあるユーザーを支援することを目的とした機能である。Oblivion RAT は、アクセシビリティ設定ページの説得力のあるレプリカを生成し、攻撃者が被害者をだして、デバイスインターフェイスを完全に制御することを許可させることができる。
有効になると、マルウェアは、SMS、ストレージ、通知、デバイス管理へのアクセスなど、重要な権限を黙って自分自身に付与する。また、システムプロンプトを完全に抑制することもできるため、被害者は昇格について知らないままになる。
高度な配信および制御メカニズムにもかかわらず、Oblivion RAT は比較的シンプルなアンチ分析技術を使用している。
注目すべきトリックの 1 つは、内部ファイルを「暗号化」としてマークして、一般的なリバースエンジニアリングツールを混乱させることを含む。実際には、データは暗号化されていないため、研究者はそれを手動で抽出することができる。
マルウェアの構成は、強力な暗号化なしで base64 形式で保存されている。これにより、C2 サーバーアドレス (89.125.48.159:8888)、認証トークン、フィッシング画面で使用されるユーザーインターフェーステキストなどの重要な詳細が公開される。
デバイスの完全乗っ取り
自己署名 TLS を通じて C2 サーバーに接続されると、Oblivion RAT は攻撃者に広範な制御を提供する。機能は次のとおりである:
- VNC を使用したリアルタイム画面表示とタッチ制御。
- すべてのユーザーの操作のキーロギング。
- OTP および 2FA コードのインターセプトを含む完全な SMS アクセス。
- 被害者の番号からメッセージを送信する機能。
際立った機能の 1 つは「資産評価」であり、インストール済みアプリをスキャンして、銀行、暗号通貨、金融、政府サービスに分類する。これにより、攻撃者は価値の高い目標を特定し、搾取を迅速に優先順位付けることができる。
Oblivion RAT は、サイバー犯罪者の参入障壁を低くする、ますますプロフェッショナルな MaaS プラットフォームの広範な傾向を反映している。
サイドロードおよびソーシャルエンジニアリング効果的な攻撃ベクトルとしての役割を果たしており、ユーザーと組織は公式ストア外のアプリのインストールについて注意深くなり、Android のアクセシビリティ機能を対象とした権限悪用戦術を認識する必要がある。
組み込みのオートメーション、洗練されたインターフェイス、および柔軟な価格設定により、このようなツールは低スキルの関係者でさえ高度なモバイル攻撃を実行できるようにする。
侵害の指標
| 指標 | タイプ | ノート |
|---|---|---|
| 89.125.48.159 | C2 IP | ポート 8888、自己署名 TLS (CN=OblivionServer)、AS 213702 (NL) |
| 185.90.61.49 | パネル IP | C2 パネル セッションで観察 |
| 83.168.108.45 | セカンダリ IP | ポート 443、AS 35179 (PL) |
| 83.168.108.85 | セカンダリ IP | ポート 443、AS 35179 (PL) |
| oblvn.sbs | パネルドメイン | C2 パネルおよびビルダー インターフェース |
| fecf484b0fb268b1a6867057769a3e805abfc0b506cd022d37e0e50a9401714e | RAT ペイロード ハッシュ | payload.apk (com.oblivion.client)、VT: 14/67 |
| d60d067c1239ec7db222ec18f7b8e20d85dd29ca5e8d4ddd86c55047374c3c48 | RAT ペイロード ハッシュ | payload.apk (com.mail.ru)、VT: 9/65 |
| 69a81fe8b53c1f5fa37363e32a2ed867a0c808776bdae155fc118c2de94a321a | ドロッパー ハッシュ | Yandex.Archive.apk (com.yandexxxx.update)、VT: 5/66 |
