脅威行為者が現在、Googleの Firebase App Distribution サービスを悪用して、Facebookの認証情報を盗み、アカウント乗っ取りを可能にする偽のAndroid ChatGPTおよびMetaの広告アプリを配信しています。
この活動は、偽のChatGPTとGeminiアプリを使用した最近のiOsのフィッシングキャンペーンと大いに似ていますが、この波は Androidユーザーを特に標的 にしており、Googleのインフラから送信されたと思われる招待スタイルのメールを通じています。
このキャンペーンは、AndroidのAI駆動型広告またはChatGPTツールへの早期アクセスを提供すると主張する招待メールで始まります。
これらのメッセージはアプリの「テスト」または「ベータアクセス」を参照しており、正規の開発者がテスターをオンボードする際に使用する言語を模倣しています。
メールは「[email protected]」というアドレスから送信されます。これはFirebase App Distributionの正規の通知チャネルで、これにより多くの受信者にメッセージが本物に見えます。
メールでは、被害者はFirebase App Distributionのランディングページに移動する「開始」または「インストール」ボタンをクリックするように促されます。
このページはGoogleのインフラ上でホストされており、アプリはOpenAI、ChatGPT、またはMeta Ads関連のテストビルドとして表示され、バージョン番号と簡潔なリリースノートが付いています。
ノートには、広告クレジットのプロモーション、「200ドルボーナス」オファー、またはマーケティング担当者とFacebookページ管理者を引き付けるように設計された高度な広告自動化機能が頻繁に言及されています。
偽のAndroidアプリとFacebook
被害者がFirebaseからAndroidパッケージをサイドロードすると、インストールされたアプリの動作は広告された機能から大きく逸脱します。
AIアシスタントまたは広告管理ダッシュボードを提供する代わりに、アプリは Facebookログイン画面を提示するWebビューを即座にロードします。
インターフェースは、ブランディングとレイアウトを含む公式のFacebook モバイルログインページを密接に模倣しており、ほとんどのユーザーは実際のアプリではなくフィッシングコンポーネントと相互作用していることに気づきません。
ユーザーがメール、電話番号、パスワードを送信すると、認証情報はFacebookではなく攻撃者が管理するサーバーに送信されます。
観察された一部のケースでは、アプリは二要素認証コードまたはビジネス マネージャーの確認手順を求めるプロンプトも表示され、セキュリティコントロールのバイパスを可能にするトークンを収集します。
有効な認証情報を手に入れれば、脅威行為者は個人プロフィール、ビジネスページ、広告アカウントを制御でき、しばしばそれらを使用して不正な広告キャンペーンを実行したり、追加のマルウェアを配信したりします。
どちらの場合でも、犯罪者はよく知られたAIブランドと、TestFlight、App Store、Firebase App Distributionなどの公式または準公式配信チャネルに寄せられた信頼に依存しています。
このパターンは、単純なフィッシングサイトから被害者の信頼を高め、セキュリティフィルターをバイパスするための正規のソフトウェア供給およびテストエコシステムの悪用への明確な進化を示しています。
対策
Androidユーザーは、ChatGPT、Meta Ads、または同様のAIツールの不要なテスト招待を疑わしく扱うべきです。メッセージがGoogleサービスから送信されたように見える場合でも同様です。
メールリンクからAPKをサイドロードすることを避け、代わりに公式Google Play Store または検証済みの企業チャネルを通じてのみChatGPTまたはMetaアプリを取得する必要があります。
Facebookビジネスアセットを管理する組織は、多要素認証を実施し、異常な広告支出またはログイン場所を監視し、FacebookとOpenAIがランダムなFirebaseまたはTestFlight招待を通じて有料広告ツールを配布しないことをスタッフに教育する必要があります。
セキュリティチームはまた、メールゲートウェイとモバイルデバイス管理ポリシーを調整して、不要なキャンペーンでFirebase配信リンクにフラグを立て、管理されたAndroidデバイスでサイドロードを可能な限り制限する必要があります。
翻訳元: https://gbhackers.com/fake-chatgpt/
