高度なAndroidバンキング型トロイの木馬が、必須の「バンキングKYC」認証サービスを装いながら、WhatsApp経由で積極的に拡散しています。
この金銭的動機を持つマルウェアは、欺瞞的なソーシャルエンジニアリングを使用して、ユーザーを悪質なアプリケーションをインストールするよう騙し、最終的にはデバイスの深刻な侵害をもたらします。
正当なバンキングワークフローを模倣することで、脅威アクターは機密の財務データの盗取、SMSメッセージの傍受、デバイス通信の遠隔乗っ取りに成功しています。
このマルウェアは、検出を回避するために複雑な2段階ドロッパーアーキテクチャを使用して動作します。プライマリアプリケーションは隠れたローダーとして機能し、被害者に偽の「アップデートが必要です」というプロンプトを表示します。
バックグラウンドでは、Androidのセッションベースの PackageInstallerを使用してセカンダリペイロードを抽出、復号化、インストールします。疑いを最小限に抑え、永続性を維持するために、セカンダリの悪質なアプリケーションはデバイスのアプリランチャーからそのアイコンを意図的に隠します。
回避は、このキャンペーンの中心的な機能です。マルウェアは、そのコマンド・アンド・コントロール(C2)エンドポイント、暗号化キー、およびエージェント識別子を含む重要な設定詳細を、難読化されたネイティブライブラリ(libnative-lib.so)に埋め込みます。
このタクティクは静的分析中の可視性を大幅に制限し、リバースエンジニアリングの努力を複雑にします。
さらに、マルウェアはローカルフルトンネルVPNサービスを確立します。すべてのデバイストラフィックをこのアプリケーション制御のネットワークレイヤーを通じて強制することで、攻撃者はライブ通信を監視し、トラフィックをフィルタリングし、Google Play Protectなどのクラウドベースのセキュリティスキャンを中断する可能性があります。
中断のない動作を確保するために、トロイの木馬はバッテリー最適化ポリシーからの免除を要求するプロンプトを強制し、バックグラウンドで連続的に実行できるようにします。
リモート操作はFirebase Cloud Messagingに大きく依存しています。この統合により、攻撃者はSMS傍受、一括インボックス抽出、リモートコール開始、USSD コード実行のためのリアルタイムコマンドを発行でき、これは悪意のある方法で通話転送設定を変更するために使用できます。
ペイロードが制御を確立すると、マルウェアは展開し、フィッシングキャンペーンを実行するための埋め込まれたNext.js WebViewインターフェースを使用します。
このフロントエンドは、公式のバンキングKYCコンプライアンス画面を完璧に模倣し、被害者を複数段階の認証情報収集プロセスを通じてガイドします。
ユーザーは、携帯電話番号、ATM PIN、Aadhaar識別番号、およびクレジットカードまたはデビットカードの詳細などの非常に機密性の高い情報を提出するよう操作されます。
このオペレーション cyfirmaの規模は、インドの銀行認証情報と身分データへの重点的な焦点と相まって、インド内で活動している既知の組織化されたモバイル詐欺エコシステムと強く一致しています。
シンプルな文字列難読化からネイティブコード隠蔽への進化は、これらの地域的な脅威アクターの技術的な高度化の増加を強調し、厳格なアプリケーションインストール制御とメッセージングプラットフォーム上の未承諾のコンプライアンス警告に対するユーザーの懐疑心の向上の重要性を強調しています。
翻訳元: https://cyberpress.org/whatsapp-kyc-trojan-attack/
