TokyoBlackHatNews

csoonline.com 4分で読了

ClayRatスパイウェアがSMSとTelegram経由でスマートフォンを拡散ハブに変える

急速に進化するAndroid RATは、人気アプリを装い、被害者のネットワーク全体に悪意のあるリンクを拡散するために連絡先の信頼を悪用して広がります。

「ClayRat」として知られる急速に進化するAndroidスパイウェアキャンペーンは、当初ロシアのユーザーを標的としていましたが、現在ははるかに広範囲に拡大しており、わずか3か月で600以上のサンプルと50のドロッパーを生み出しました。

ZimperiumのZlabsの観察によると、ClayRatはフィッシングサイトや、TikTok、YouTube、Googleフォトなどの人気アプリを装ったTelegramチャンネルを通じて配布され、ユーザーを騙して感染したAPKをサイドロードさせます。

ClayRatは、テキストメッセージの盗み見や送信、写真の撮影、連絡先リストや通話履歴の窃取を密かに行うだけでなく、被害者のスマートフォンの連絡先全員に悪意のあるリンクを送信することで自らを拡散させ、各感染端末を実質的な配布ハブに変えます。

「多くの点で、モバイルデバイスは私たちを10年前に引き戻しています」とBambenek ConsultingのJohn Bambenek氏は指摘します。「メールでは、侵害されたユーザーがフィッシング誘導を送信することに対するある程度の保護があります。しかし、SMSにはそれがほとんどありません。その結果、私たちは連絡先からのメッセージを不自然に信頼し、Google Play以外からアプリをインストールすることも含まれてしまいます。」

Telegramからテキストスレッドまで信頼を悪用

Zimperiumのレポート(木曜日の公開に先立ちCSOに共有)は、ClayRatが信頼のループに依存していることを示しています。攻撃者は洗練されたフィッシングページやTelegramの「アップデートチャンネル」を使って偽アプリをホストし、偽の推薦文や誇張されたダウンロード数まで用意します。SMSの操作権限が与えられると、スパイウェアはその信頼を悪用し、「いち早く知ろう!」という悪意のあるリンク付きのテキストを感染端末の全連絡先に送信します。

「被害端末から本物のように見えるメッセージを送信したり、通話をかけたりできるこの種のRAT技術は、MFA(多要素認証)の回避や高度ななりすまし攻撃にも利用される可能性があります」とBambenek氏は付け加えました。

ClayRatはAndroidのデフォルトSMSハンドラーの役割を悪用することで、通常の実行時権限チェックを回避し、ユーザーに警告を与えることなく深いアクセス権を獲得します。Zimperiumのアナリストによると、この役割が付与されると、ClayRatはテキストの送受信や傍受、フロントカメラでの写真撮影、すべてのデータをC2(コマンド&コントロール)サーバーに転送できるようになります。

「C2サーバーからコマンドを受け取ると、マルウェアは“Узнай первым! <link>”(英語:Be the first to know! <link>)というメッセージを作成し、SEND_SMSおよびREAD_CONTACTS権限を利用して被害者の連絡先リストを自動収集し、すべてのエントリに悪意のあるリンクを送信します」とZimperiumの研究者は述べています。

自己拡散型スパイウェアへの対策

専門家は、ClayRatへの対抗には技術的な強化と行動面での衛生管理の両方が必要だと述べています。

「セキュリティチームは、インストール経路を減らし、侵害を検知し、被害範囲を限定する多層的なモバイルセキュリティ体制を徹底すべきです」とSectigoのシニアフェロー、Jason Soroko氏は述べています。彼は、Android Enterpriseポリシーによるサイドロードのブロック、エンドポイント管理と統合したモバイル脅威防御の導入、パスキーやハードウェアセキュリティキーなどフィッシング耐性のあるMFAへの移行を推奨しています。

Black Duckのシニアサイバーセキュリティソリューションアーキテクト、Chrissa Constantine氏は「エンドユーザーのトレーニングと教育は非常に推奨されます。特に、従業員が信頼できないソースからアプリをインストールしないことの重要性を理解するためです」と述べています。

Zimperiumは、同社の行動ベースの機械学習モデルがClayRatの初期バリアントをシグネチャが存在する前に検知し、以降Googleと脅威インテリジェンスを共有してPlay Protectの防御を強化したと主張しています。しかし、スパイウェアが進化し続ける中で、本当の課題は検知だけでなく、時には見慣れたアプリアイコンの裏に本当の危険が潜んでいることをユーザーに納得させることかもしれません。

研究者たちはまた、セキュリティチームが進行中のClayRat活動を検知・防御するのに役立つ侵害指標(IOC)の全リストも共有しています。

翻訳元: https://www.csoonline.com/article/4070281/clayrat-spyware-turns-phones-into-distribution-hubs-via-sms-and-telegram.html

ソース: csoonline.com
#Androidマルウェア #C2サーバー #ClayRat #DLLサイドローディング #SMSフィッシング #Telegram API #Telegram偽アプリ #スパイウェア #モバイルセキュリティ #自己拡散型マルウェア

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活