新しいAndroidリモートアクセストロージャン「Oblivion RAT」がサイバー犯罪フォーラムに出現し、高度に洗練されたマルウェア・アズ・ア・サービス(MaaS)プラットフォームを提供しています。
Certo Softwareによる発見から、このスパイウェアは脅威アクターが月額300ドルで利用できます。
Oblivionが目立つ理由は、本番環境対応のインフラストラクチャであり、悪質なインプラントを作成するためのウェブベースのビルダー、説得力のある偽のGooglePlayストア更新画面を作成するドロッパービルダー、および包括的なコマンド・アンド・コントロール(C&C)パネルを含んでいます。
セキュリティ研究者は最近、マルウェアサンプルを入手し、その完全な感染チェーンをリバースエンジニアリングして、デバイスがどのように危険にさらされ、制御が維持されるかを理解しました。
Oblivionは被害者をだますために社会工学を多用する2段階の感染プロセスに依存しています。攻撃者は初期ドロッパーアプリケーションをメッセージングアプリやデートプラットフォームを通じて配布しています。
ダウンロード後、ドロッパーは被害者に、正規のGooglePlayストア更新に見える、説得力のある3ページのシーケンスを提示します。
最初の画面には、偽のダウンロード進捗バーが表示され、アプリケーションが検証済みで安全であることを虚偽で保証するセキュリティスキャンが表示されます。2番目の画面には、高い開発者評価と目立つ更新ボタンを含む、作成されたPlayストアリスティングが表示されます。
2段階目がインストールされると、マルウェアはAndroidのアクセシビリティサービスを介してディープシステムアクセスを獲得することに焦点を当てます。
オペレータは、起動時にアクセシビリティアクセス許可をすぐにリクエストするステルスアプリケーションを作成するためにカスタマイズされたビルダーを使用します。
ユーザーをだまそうとするために、マルウェアは正規のAndroidアクセシビリティ設定画面の完璧なレプリカを表示します。攻撃者はこの偽のページ上のすべてのテキストを制御して、被害者を安心させます。
正常にインストールされてセキュリティチェックをバイパスした後、マルウェアは暗号化されていない構成ファイルを使用してそのコマンドサーバーに接続します。
このテキストファイルは、研究者にサーバーアドレス、オペレータートークン、および動作モードを簡単に明かします。接続すると、攻撃者はリアルタイムのデバイス監視を提供する強力なコントロールパネルにアクセスできます。
オペレータは侵害されたデバイス画面を表示でき、タッチコマンドを通じてそれと対話でき、被害者が行うすべてのキーストロークを監視できます。
この機能により、攻撃者はワンタイムパスワードと2要素認証コードをシームレスにキャプチャできます。最も懸念される機能は、コントロールパネルに組み込まれた資産評価ツールです。
この機能は被害者のデバイスを自動的にスキャンし、インストールされたアプリケーションを銀行、暗号通貨、マイクロファイナンスなどのグループに分類します。この即座の財務プロファイルは、攻撃者にどのアカウントがターゲットにするのに最も価値があるかを正確に伝えます。
セキュリティプロフェッショナルは、この継続的なキャンペーンに関連する以下のインフラストラクチャの詳細についてネットワークを監視する必要があります。
翻訳元: https://cyberpress.org/oblivion-rat-spreads-widely/