新しく発見された文書リーダーを装った悪意のあるAndroidアプリケーションがGoogle Play Storeで見つかり、ユーザーに悪名高いAntsaバンキングトロイの木馬に感染させていました。
削除される前に既に10,000ダウンロードを超えていたこのアプリは、公式アプリマーケットプレイスを通じてマルウェアが忍び込む継続的な脅威をハイライトしています。
悪意のあるアプリは、文書リーダーユーティリティを装って公式Google Play Storeでホストされていました。リスト掲載場所は以下の通りです:
アプリはその後削除されましたが、10,000を超えるインストールに達し、かなりの露出期間を示していました。
ThreatLabzの研究者たちがこのアプリケーションをAnatsa配布の積極的なキャンペーンの一部として特定しました。Antsaはまた、金融認証情報と機密ユーザーデータを盗むように設計された、十分に文書化されたAndroidバンキングトロイの木馬として知られるTeaBotとしても知られています。
攻撃者はGoogle Playに関連する信頼を利用してマルウェアを配布し、ユーザーが疑いなくアプリをインストールする可能性を高めました。
Antsaマルウェア配信メカニズム
インストール後、アプリケーションは悪意のある機能をすぐには展開しませんでした。代わりに、それはドロッパーとして機能し、インストール後にリモートサーバーからAntsaペイロードを取得しました。
主な技術指標は以下の通りです:
- インストーラーSHA256:5c9b09819b196970a867b1d459f9053da38a6a2721f21264324e0a8ffef01e20
- ペイロードURL:http://23.251.108[.]10:8080/privacy.txt
- ペイロードSHA256:88fd72ac0cdab37c74ce14901c5daf214bd54f64e0e68093526a0076df4e042f
「privacy.txt」のような一見無害なファイル名の使用は、マルウェアが基本的な検出メカニズムを回避し、ユーザーの疑いを招くのを避けるのに役立ちます。
インストールが成功した後、Antsaペイロードは複数のコマンド&コントロールC2サーバーに接続して指示を受け取り、データを抜き出します。
特定されたC2エンドポイントは以下の通りです:
- http://172.86.91[.]94/api/
- http://193.24.123[.]18:85/api/
- http://162.252.173[.]37:85/api/
これらのサーバーにより、攻撃者は感染したデバイスを遠隔制御し、追加のペイロードを展開し、認証情報収集操作を実施できます。
Antsaの機能とリスク
Antsaは、主に金融アプリケーションを標的とする高度なバンキングトロイの木馬です。その機能は以下の通りです:
- 銀行アプリからログイン認証情報を盗むためのオーバーレイ攻撃。
- キーロギングおよび画面キャプチャ。
- ワンタイムパスワード(OTP)を含むSMSメッセージの傍受。
- 詐欺的な取引を実行すること。
マルウェアはしばしばアクセシビリティサービスの悪用を使用して昇格された許可を得て、バックグラウンドでステルスに動作することを可能にします。
この事件は、脅威アクターがGoogle Playのような信頼できるプラットフォームに継続的に一見正当なアプリをアップロードするというより広い傾向を反映しています。
これらのアプリは、悪意のある行動を遅延させるか、インストール後にペイロードを動的に読み込むことで、初期セキュリティチェックを通過することが多いです。
Google PlayProtectなどのセキュリティ対策にもかかわらず、攻撃者は検出メカニズムを回避するための戦術を進化し続けています。
ユーザーと組織は以下の予防措置を講じるべきです:
- レビューが限定的または開発者情報が不明なアプリをインストールするのを避けてください。
- アプリのアクセス許可を監視し、特にアクセシビリティサービスのリクエストを監視してください。
- トロイの木馬の動作を検出できるモバイルセキュリティソリューションを使用してください。
- デバイスとアプリケーションを定期的に更新してください。
翻訳元: https://gbhackers.com/fake-document-reader-app/
