ハッカーはMiningDropperと呼ばれるモジュール型Androidフレームワークを悪用して、暗号通貨をマイニングし、感染したデバイスに静かにインフォスティーラー、リモートアクセストロージャン(RAT)、およびバンキングマルウェアをインストールしています。
MiningDropperは、暗号マイニングと追加のマルウェアペイロード配信を組み合わせた多段階のAndroidドロッパーであり、バンキングトロージャン、BTMOBなどのRAT、および認証情報盗聴スパイウェアを含みます。
最近のバリアントはオープンソースのLumolightフラッシュライトアプリのトロージャン化されたバージョンを中心に構築されており、攻撃者はこれを武器化し、フィッシングリンク、ソーシャルメディア、および偽のウェブサイトを通じて配布します。
フレームワークは階層化されたアーキテクチャを使用しています。XOR難読化ネイティブコード、AES暗号化ペイロード、動的DEXロード、およびアンチエミュレーションチェック、すべてはアンチウイルスエンジンを回避し、研究者による分析を遅延させるために設計されています。
Cyble Research and Intelligence Labs(CRIL)は、洗練されたAndroidマルウェア配信フレームワークである「MiningDropper」の使用における大幅な増加を監視しています。
最近のキャンペーンからのテレメトリーは、1,500以上のMiningDropperサンプルが野に放たれていることを示しており、その半分以上が非常に低いアンチウイルス検出を示しており、キャンペーン全体で同じコアローダーの迅速な再利用と能動的な回避を示しています。
感染チェーンの仕組み
被害者がトロージャン化されたLumolightアプリをインストールすると、Android applicationサブクラスがネイティブライブラリ(librequisitionerastomous.so)をロードします。このライブラリはXOR難読化された文字列とエミュレーターまたはルート環境を検出するためのデバイスチェックを含みます。
環境が本物に見える場合、ネイティブコードはハードコードされたXORキーを使用してアセットを復号化し、第1段階のDEXファイルを生成します。これはDexClassLoaderを介してロードされて実行を続けます。
第1段階はブートストラップローダーとして機能します。APKから第2の暗号化されたアセットをプルし、ファイル名のSHA-1ハッシュからAESキーを導出し、次のDEXペイロードを復号化し、動的にロードします。
第2段階は、同じファイル名派生AESパターンを使用してさらに設定ファイルとペイロードアーカイブを復号化する間、ユーザーの気を散らしておくために、偽のGoogle Playスタイルの更新画面を表示します。
復号化されたZIPから抽出された第3段階のペイロードは、分割APKインストーラーとして機能し、設定ファイルで定義された複数の暗号化された「分割」から最終的なマルウェアパッケージを再構築します。
設定値は、MiningDropperが最初にマイナーモジュールをアクティブ化するか、BTMOB RATなどの「ユーザーペイロード」に直接進むかを決定し、フレームワークをさまざまなマネタイズ目標全体で再利用可能にします。
CRILはMiningDropperを使用した少なくとも2つの主要なキャンペーンクラスターをマッピングしました。
最初のものはインドのユーザーに対するインフォスティーラーに焦点を当てており、地域交通局(RTO)サービス、銀行、および電気通信プロバイダーをテーマにした引き込みを悪用し、フィッシングサイトでホストされている悪意のあるAPKおよびソーシャルメディアリンクを通じて配信されます。
第2のキャンペーンはヨーロッパ、ラテンアメリカ、およびアジアのユーザーを対象とし、BTMOB RATを最終ペイロードとして、詐欺的なストリーミング、生産性、およびユーティリティアプリを通じて配信されます。
BTMOB RAT自体は、高度なSpySolr派生Androidトロージャンで、認証情報盗聴、キーロギング、アクセシビリティ濫用ベースのデバイス乗っ取り、ライブスクリーン配信、ファイル操作、オーディオ記録、およびウェブインジェクションとWebSocket-ベースのC2制御を通じた金融詐欺が可能です。
選択されたMiningDropperの特徴
| 側面 | 詳細 |
|---|---|
| 種類 | モジュール型ペイロード配信を備えた多段階Androidドロッパー。 |
| 機能 | 暗号マイニング、インフォスティーラー、RAT(BTMOB)、バンキングトロージャン。 |
| 初期ペイロード | トロージャン化されたLumolightフラッシュライトアプリ。 |
| 難読化 | XORベースの文字列隠蔽、AES暗号化アセット、動的DEXロード。 |
| 回避 | アンチエミュレーションチェック、段階的復号化、低いAV検出率。 |
| ターゲット地域 | インド、より広いアジア、ヨーロッパ、およびLATAM。 |
ローダーを最終ペイロードから分離し、設定を通じて動作を駆動することで、MiningDropperは単一のファミリーよりも「マルウェア・アズ・フレームワーク」のようにより動作し、脅威アクターが配信チェーンを書き直さずに新しいRATまたはバンキングトロージャンを迅速に交換できます。
ネイティブ難読化、ファイル名派生AESキー、段階的DEXロード、およびソーシャルエンジニアリングオーバーレイの組み合わせは、静的検出を大幅に削減し、世界中のAndroidユーザーに対する持続的な大規模キャンペーンを可能にします。
ディフェンダーにとって、このトレンドは疑わしいサイドロードされたAPKを監視する必要性、可能な限りモバイルデバイス管理(MDM)制御を実施する必要性、およびMiningDropperなどのモジュラーローダーとBTMOB RATのような高い影響を与えるペイロードをキャッチできる動作検出の優先順位付けの必要性を強調しています。
翻訳元: https://gbhackers.com/banking-malware-on-android/
