MiningDropperとして知られる高度なAndroidマルウェア配信フレームワークが、世界中のモバイルユーザーに対する重大な脅威として浮上しています。
BeatBankerとしても追跡されるこの極めて適応性の高い多段階の脅威は、暗号資産採掘機能と、情報盗難ツール、リモートアクセストロイの木馬、バンキングマルウェアを含む高度な悪意あるペイロードの配備を組み合わせています。
マルウェア・アズ・ア・サービス・フレームワークとして本質的に機能し、サイバー犯罪者が攻撃をスケールすることを可能にしながら、侵害されたデバイス全体で検出フットプリントを非常に低く保つ。
現在の配布キャンペーンは、ソーシャルエンジニアリングと欺瞞的なフィッシングウェブサイトに大きく依存しています。脅威のアクターは、地域運輸局、銀行、通信プロバイダー、および正当なソフトウェアアップデートを偽装することでマルウェアを積極的に配布しています。
最近のバリアントは、オープンソースのAndroidフラッシュライトアプリケーションLumolightのトロイの木馬化バージョンを特に悪用して感染チェーンを開始します。
被害者は詐欺的なウェブサイトやソーシャルメディアプラットフォーム経由で悪意あるアプリケーションパッケージをダウンロードするようにおびき寄せられ、知らず知らずのうちに彼らのデバイスを危険にさらす複雑な背景活動の一連を開始します。
1ヶ月間で、テレメトリーは野生での1,500以上の異なるサンプルを明かし、そのうち半分以上が最小限のアンチウイルスカバレッジを示しており、標準的なセキュリティスキャンプラットフォームで1〜3つの検出のみをトリガーしています。
MiningDropperの技術的な高度さは、その層状ペイロード配信システムにあります。インストール時に、トロイの木馬化されたアプリケーションは、実行時に動的に復号化されるXOR難読化文字列を含むネイティブライブラリをトリガーします。
この初期段階は、包括的な反エミュレーションチェックを実施することにより、防御回避技術、特に仮想化およびサンドボックス回避を大きく利用しています。
マルウェアは、エミュレートされたまたはルート化された環境で実行されているかどうかを判断するために、システムアーキテクチャ、プラットフォームの詳細、およびデバイスモデル情報をクエリします。
このモジュラーフレームワークの急速な拡大は、モバイル脅威の進化する性質を強調しており、脅威のアクターは継続的にセキュリティプロトコルをバイパスするためにドロッパーを改善しています。
MiningDropperが静的露出を正常に最小化し、正当なアプリケーション構造を活用しているため、従来のシグネチャーベースの検出方法は感染サイクルの初期段階で脅威を識別することに不足していることが多いです。
これらの高度なモバイル脅威に対抗するために、Cybleユーザーは厳密なデバイス衛生を優先する必要があります。
Google Play Storeのような公式プラットフォームからのみアプリケーションをダウンロードし、サードパーティのアプリケーションストアまたは迷惑テキストメッセージとソーシャルメディアを通じて配布されたリンクを完全に回避することが重要です。
ユーザーは、アプリケーションが組み込み権限をリクエストする場合、特にアクセシビリティサービスへのアクセスまたはデバイス管理者権限(リモートアクセストロイの木馬によって頻繁に悪用される)をリクエストする場合に、極端な注意を払う必要があります。
さらに、すべての財務およびセンシティブなアカウントにわたって多要素認証を実装することは、防御の重大な層を提供し、ローカルデバイスの認証情報が侵害された場合でも、不正なリモートアクセスの実行が非常に困難なままであることを保証します。
翻訳元: https://cyberpress.org/miningdropper-targets-android-users/
