「ClayRat」として知られる急速に進化するAndroidスパイウェアキャンペーンが、Telegramチャンネルやフィッシングサイトを通じてロシアのユーザーを標的にしていることが発見されました。
このキャンペーンはZimperium zLabsの研究者によって追跡されており、WhatsApp、TikTok、Googleフォト、YouTubeなどの信頼できるアプリを装い、ユーザーを騙して悪意のあるソフトウェアをダウンロードさせます。
急成長するモバイル脅威
過去3か月間で、研究者たちは600以上の異なるClayRatサンプルと50のドロッパーを特定し、それぞれのバージョンが新たな難読化レイヤーを導入してセキュリティツールの回避を図っています。
一度インストールされると、このスパイウェアは通話履歴、SMSメッセージ、通知を外部に送信したり、フロントカメラを使って写真を撮影したり、被害者のスマートフォンから直接メッセージ送信や通話を行うことができます。
「ClayRatは、TikTok、YouTube、Googleフォトなどの人気アプリを模倣した偽アプリの中に潜み、ユーザーを騙して特別な権限を与えさせる新しいAndroidスパイウェアです」とBlack Duckのシニアサイバーセキュリティソリューションアーキテクト、Chrissa Constantine氏は述べています。
「一度インストールされると、密かにテキストメッセージを読み書きしたり、写真を撮影したり、連絡先リストや通話履歴を盗み、自身を拡散させることができます。」
このスパイウェアの運営者は、なりすまし、欺瞞、自動化を組み合わせた多面的な戦略を採用しています。
主な配布経路は以下の通りです:
-
YouTubeやGoogleフォトなどの正規サービスを模倣したフィッシングサイト
-
偽のレビューや水増しされたダウンロード数で装飾されたTelegramチャンネル
-
ユーザーにAndroidの組み込み警告を回避させる手順付きインストールガイド
-
Playストアのアップデートを装うセッションベースのインストーラー
Androidスパイウェアの脅威についてさらに読む:イランのハッカーが新しいAndroidスパイウェアバージョンを展開
AndroidのSMSハンドラーロールの悪用
ClayRatの最も懸念される特徴は、AndroidのデフォルトSMSハンドラー権限の悪用です。一度許可されると、この権限によってマルウェアはユーザーに警告することなくテキストメッセージを読み取り、保存し、送信することができます。
このスパイウェアはこのアクセスを利用して自身をさらに拡散させ、「最初に知ろう!」のようなメッセージを保存されたすべての連絡先に送信します。
「ClayRatがインストールされると、SMSメッセージ、通話履歴、通知、デバイス識別子、フロントカメラで撮影された写真を盗むことができます」とSectigoのシニアフェロー、Jason Soroko氏は述べています。
「また、デバイスからSMSを送信したり通話を発信することも可能です。」
検知と防御
Zimperiumのシステムは、ClayRatの亜種が公開される前に出現と同時に検知したと報告されています。同社は、Googleと調査結果を共有し、Google Play Protectを通じて保護を確保するのに役立ったと述べています。
同様の脅威から守るために、Soroko氏は「セキュリティチームは、インストール経路を減らし、侵害を検知し、被害範囲を限定する多層的なモバイルセキュリティ態勢を徹底すべきです」と説明しています。
Bambenek Consultingの社長、John Bambenek氏は「すべてのモバイルデバイスユーザーにとっての主要な防御策は、たとえ知っている連絡先からのメッセージであっても、正規のPlay/Appストアからのみアプリケーションをインストールすることです」と付け加えました。
600以上のサンプルが観測され、巧妙さが増す中、ClayRatはモバイルマルウェアの進化の加速と積極的な防御の必要性を浮き彫りにしています。
画像クレジット:JarTee / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/clayrat-spyware-targets-android/
