Miraxとして知られる新たに特定されたAndroidバンキングトロイの木馬がヨーロッパ全体に拡散しており、リモートアクセス機能と住宅用プロキシ機能を組み合わせてその影響を広げています。
Cleafyが公開したアドバイザリーによると、このマルウェアはスペイン語を話すユーザーをターゲットにしており、ソーシャルメディアプラットフォーム上の広告を通じて20万以上のアカウントに達するキャンペーンが観測されています。
Cleafyは、Miraxが従来のAndroidマルウェアの開発・配布方法にシフトをもたらしていると述べています。従来の脅威とは異なり、制限付きマルウェア・アズ・ア・サービスの(MaaS)モデルの下で動作し、少数のアフィリエイトのみへのアクセスを制限しています。この統制されたアプローチは、運用のセキュリティを維持しながらキャンペーンの有効性を向上させることを意図しているように見えます。
このマルウェアは、攻撃者が感染したデバイスをリアルタイムで完全にコントロールすることを可能にします。コマンドを実行し、アクティビティを監視し、正規アプリケーション上に偽のオーバーレイをデプロイして機密データを盗むことができます。これらのオーバーレイはコマンド・アンド・コントロール(C2)サーバーから動的に取得され、検出の努力を複雑にします。
Miraxはまた、継続的なキーロギングやロック画面の詳細(PINの構造と生体認証の使用など)の収集を含む監視機能も統合しています。これにより、攻撃者は疑いを招くことなく認証情報と個人情報を収集することができます。
ソーシャルエンジニアリングが配布を推進
キャンペーンは大規模な被害者に到達するためにソーシャルエンジニアリングに依存しています。悪意のある広告は違法なストリーミングアプリケーションを宣伝し、ユーザーに公式アプリストア以外からソフトウェアをダウンロードするよう促しています。
-
大規模な視聴者に到達するために使用されるソーシャルメディア広告
-
ドロッパーとして機能する偽のIPTVまたはストリーミングアプリ
-
GitHub上でホストされ、頻繁に更新されるマルウェア
-
自動分析を回避するために設計されたデバイスチェック
インストール後、マルウェアは多段階プロセスを実行し、隠れたペイロードを復号化し、WebSocketを介して通信チャネルを確立します。これらのチャネルにより、攻撃者はデバイスをリモートでコントロールしデータを抽出できます。
プロキシ機能が攻撃の可能性を拡大
Miraxの特徴的な機能の1つは、感染したデバイスを住宅用プロキシノードに変換できる機能です。これにより、攻撃者は正規のIPアドレスを通じて悪意のあるトラフィックをルーティングでき、地理的制限と不正検出システムをバイパスするのに役立ちます。
サイバーセキュリティにおけるプロキシの悪用に関する詳細:DeadLock ランサムウェアがポリゴンスマートコントラクトをプロキシローテーションに使用
この機能により、マルウェアの役割は金銭的盗難を超えて拡張されます。危険にさらされたデバイスは、アカウント乗っ取り(ATO)や匿名化されたネットワーク攻撃を含む、より広いサイバー犯罪活動のためのインフラストラクチャとして使用されることができます。
Cleafyは、Miraxがモバイル脅威のより広い進化を反映していると述べており、ツールがより модular化され商業的に構造化されつつあります。現在のキャンペーンはスペインに焦点を当てていますが、アナリストは、オペレーターが戦術を洗練させるにつれてマルウェアの到達範囲が拡大する可能性が高いと警告しています。
翻訳元: https://www.infosecurity-magazine.com/news/mirax-trojan-devices-proxy-nodes/
