TokyoBlackHatNews

bleepingcomputer.com 5分で読了

Google Playの「NoVoice」Androidマルウェアが230万台のデバイスに感染

Image

Google Playで「NoVoice」という新しいAndroidマルウェアが発見されました。このマルウェアは50以上のアプリに隠されており、少なくとも230万回ダウンロードされています。

悪意のあるペイロードを含むアプリには、クリーナー、画像ギャラリー、ゲームが含まれていました。これらは疑わしいパーミッションを必要とせず、約束された機能を提供していました。

感染したアプリを起動した後、マルウェアは2016年から2021年の間にパッチが当たった古いAndroid脆弱性を悪用して、デバイスにroot権限を取得しようとしました。

サイバーセキュリティ企業McAfeeの研究者はNoVoice作戦を発見しましたが、特定の脅威行為者に結びつけることができませんでした。しかし、彼らはそのマルウェアがTriada Androidトロイの木馬と類似していることを指摘しました。

Image

NoVoice感染チェーン

McAfee研究者によると、脅威行為者はcom.facebook.utilsパッケージに悪意のあるコンポーネントを隠し、正規のFacebook SDKクラスと混ぜていました。

ステガノグラフィを使用してPNGイメージファイル内に隠されている暗号化されたペイロード(enc.apk)が抽出(h.apk)され、すべての中間ファイルをクリアして痕跡を除去しながらシステムメモリに読み込まれます。

McAfeeは、脅威行為者が中国の北京や深圳のような特定の地域のデバイスへの感染を避け、エミュレータ、デバッガ、VPNの15個のチェックを実装したことに注目しています。位置情報パーミッションが利用できない場合、マルウェアは感染チェーンを続行します。

Image

その後、マルウェアはコマンド・アンド・コントロール(C2)サーバに接続し、ハードウェア詳細、カーネルバージョン、Androidバージョン(およびパッチレベル)、インストール済みアプリ、root状態などのデバイス情報を収集して、エクスプロイト戦略を決定します。

次に、マルウェアは60秒ごとにC2をポーリングし、被害者システムをroot化するために設計されたデバイス固有のエクスプロイトのさまざまなコンポーネントをダウンロードします。

研究者は配信段階から注入段階までの感染チェーンのマップを作成しました。

NoVoice Androidマルウェアの侵害チェーン

McAfeeによると、use-after-freeカーネルバグとMali GPUドライバの欠陥を含む22個のエクスプロイトが観察されました。これらのエクスプロイトはオペレータにrootシェルを与え、デバイス上のSELinux実装を無効にすることを許可し、その基本的なセキュリティ保護を効果的に低下させます。

デバイスをroot化した後、libandroid_runtime.solibmedia_jni.soなどの主要なシステムライブラリが、システムコールを傍受して実行を攻撃コードにリダイレクトするフックされたラッパーに置き換えられます。

ルートキットは、復旧スクリプトのインストール、システムクラッシュハンドラをルートキットローダーに置き換え、フォールバックペイロードをシステムパーティションに保存するなど、複数のレイヤーの永続性を確立します。

デバイスの保存領域のその部分は工場出荷時リセット中にクリアされないため、マルウェアは激しいクリーンアップ後でも永続します。

ウォッチドッグデーモンが60秒ごとに実行され、ルートキットの整合性をチェックし、欠けているコンポーネントを自動的に再インストールします。チェックが失敗した場合、デバイスの再起動を強制し、ルートキットを再度読み込みます。

WhatsAppデータ盗難

エクスプロイト後のフェーズ中に、攻撃者が制御するコードはデバイスで起動されたすべてのアプリに注入されます。2つの主要なコンポーネントがデプロイされます。1つはアプリの静止インストールまたは削除を可能にし、もう1つはインターネットアクセス権を持つすべてのアプリ内で動作します。

後者はプライマリなデータ盗難メカニズムとして機能し、McAfeeはそれが主にWhatsAppメッセージングアプリを対象としていることを観察しました。

感染したデバイスでWhatsAppが起動されると、マルウェアは暗号化データベース、Signalプロトコルキー、電話番号やGoogle Driveバックアップの詳細などのアカウント識別子を含む被害者セッションを複製するために必要な機密データを抽出します。

この情報はC2に流出され、攻撃者が被害者のWhatsAppセッションを自分のデバイスにクローンすることができます。

WhatsAppデータベースを盗むためのコード

研究者は、WhatsApp中心のペイロードのみを回復しましたが、NoVoiceのモジュール設計により、デバイス上の任意のアプリケーションを対象とした他のペイロードを使用することが技術的に可能であることに注目しました。

App Defense AllianceのメンバーであるMcAfeeがそれらをGoogleに報告した後、NoVoiceペイロードを含む悪意のあるAndroidアプリケーションはGoogle Playから削除されました。

ただし、以前にそれらをインストールしたユーザーは、デバイスとデータが侵害されたと考えるべきです。

NoVoiceは2021年5月までに修正された欠陥を対象としているため、後のセキュリティパッチを実行するデバイスにアップグレードすることにより、現在の形でこの脅威を効果的に軽減します。

Androidユーザーは、Google Play上でも、積極的にサポートされているモデルにアップグレードし、信頼できる有名なパブリッシャーからのみアプリをインストールすることが推奨されます。

翻訳元: https://www.bleepingcomputer.com/news/security/novoice-android-malware-on-google-play-infected-23-million-devices/

ソース: bleepingcomputer.com
#Androidマルウェア #Google Play #NoVoice #WhatsApp #サイバー攻撃 #ステガノグラフィ #データ盗難 #モバイルセキュリティ #ルートキット #脆弱性悪用

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用