Android malware

一連の Android マルウェア ドロッパーが Google Play ストアに侵入し、アプリの更新を装ったバンキング型トロイの木馬をインストールすることが判明しました。

マルウェア ドロッパーは、アプリ自体に悪意のあるコードが含まれておらず、ストアに送信されたときに Google Play のレビューを簡単に通過できるため、停止が難しいアプリのカテゴリです。

同時に、宣伝されている機能を提供するため、ユーザーの間で疑惑を引き起こすことはなく、悪意のある動作が舞台裏で行われます。

新しい一連のドロッパーを発見したThreat Fabricの研究者は、Android マルウェアの配布にドロッパーの使用が増加していると報告しています。これは、デバイスに感染するためのステルスな経路を提供できるからです。

これは、Android のメジャー リリースごとに導入され、マルウェアによるアクセス許可の悪用、外部リソースからの悪意のあるモジュールのフェッチ、またはアクセシビリティ サービスを使用したデバイスでの無制限のアクションの実行を防止する、ますます厳しくなる制限とセーフガードを考慮すると、特に重要です。

Android とマルウェア開発者のいたちごっこ
Android エンジニアとマルウェア開発者の「いたちごっこ」 (Threat Fabric)

SharkBot キャンペーン

2022 年 10 月の初めに Threat Fabric によって発見された最初のドロッパー キャンペーンは、 SharkBotとして知られるバンキング型トロイの木馬をプッシュします。

SharkBot は Android マルウェアであり、正規の Web サイト ログイン フォームにオーバーレイされた偽のログイン プロンプトを介して認証情報を盗み、キーロギングを実行し、SMS メッセージを盗んで隠し、モバイル デバイスをリモート コントロールすることができます。

研究者は、「Codice Fiscale 2022」と「File Manager Small, Lite」という無害に見える 2 つのドロッパー アプリを発見しました。これらは、被害者のモバイル デバイスに SharkBot をインストールするために使用されます。

最初のアプリ「Codice Fiscale 2022」は、イタリアで納税額を計算するツールを装い、10,000 回ダウンロードされました。

Google Play のドロッパー アプリ
Google Play のマルウェア ドロッパー アプリ(Threat Fabric)

ユーザーが悪意のあるドロッパー アプリをインストールすると、最終的に偽の更新プログラムをインストールするように求められます。これにより、デバイスに SharkBot マルウェアがインストールされます。

リモート サーバーから追加の Android パッケージをインストールするには、Google では、アプリが「REQUEST_INSTALL_PACKAGES」を要求する必要があります。しかし、新しいバージョンの Android では、この許可の危険性について警告が表示され、ユーザーに「アップデート」をインストールするよう説得することが難しくなっています。

ドロッパーは代わりに、Google Play のように見せかけた Web ページを開き、ユーザーをだましてブラウザから [更新] ボタンをタップさせ、この許可の必要性を回避します。

Google Play の外観を使用してプロンプトを更新する
Google Play の外観を使用してページを更新する(Threat Fabric)

ドロップする SharkBot のバージョンは、偽のログイン オーバーレイ、2FA コードの SMS 傍受、キーロギング、Cookie スティーラーを使用して、イタリアの銀行を標的にしています。

File Manager ドロッパー アプリは、イタリア、英国、ドイツ、スペイン、ポーランド、オーストリア、オーストラリア、および米国の銀行のオーバーレイをロードするように構成された、より広範囲を対象とする SharkBot を提供します。

ハゲタカのキャンペーン

ドロッパー アプリを使用した別のキャンペーンでは、「Brunhilda Project」として知られる脅威アクターが運用するバンキング型トロイの木馬である Vultur マルウェアが配信されます。

Vultur は、オペレーターにソーシャル メディアやメッセージング アプリのリモート画面ストリーミングとキーロギングを提供することで、オンデバイス詐欺を実行できます。

最新のキャンペーンで配布された新しい亜種は、UI ロギング、クリック、ジェスチャ、および被害者がデバイス上で行ったすべてのアクションを記録する、これまでにないシステムも特徴としています。

Threat Fabric は、マルウェアの開発者が Android のセキュリティ フラグ制限を回避するためにこの機能を追加したと考えています。これにより、特定のアプリ ウィンドウのコンテンツがスクリーンショットやスクリーンキャストに表示されなくなります。

Vultur を配布するドロッパーは次のとおりです。

  • 「オーディオ、画像、ビデオの復元」 – 100,000 回のダウンロード
  • 「ゼッター認証」 – 10,000 ダウンロード
  • 「マイ ファイナンス トラッカー」 – 1,000 回のダウンロード
Vultur マルウェアをドロップするアプリケーション
Vultur マルウェアをドロップするアプリケーション(Threat Fabric)

SharkBot ドロッパーと同様に、これらのドロッパーも、今回は Google Play の通知を装った、偽のアップデートのインストール要求を表示します。ユーザーが更新プログラムのインストールを許可すると、Vultur マルウェアがダウンロードされてインストールされます。

Google Play の通知を装った偽の更新ウィンドウ
Google Play の通知を装った偽の更新ウィンドウ(Threat Fabric)

Play ストアに送信されたときに検出を回避するために、インストール ロジックはドロッパー アプリに含まれていませんが、攻撃者のコマンド アンド コントロール サーバーから送信された追加の dex ファイルによって動的に読み込まれます。

さらに、ドロッパーは AES 暗号化を使用して文字列を難読化し、自動スキャナーからすべての機能を隠します。

ドロッパーが落ちる

ドロッパーの使用は、マルウェアのインストールがスキャナーや不正検出メカニズムを回避するための信頼できる方法になりました。したがって、その展開率はさらに高まると予想されます。

「Google Play のドロッパーによる配布は、さまざまなレベルのアクターのほとんどにとって、犠牲者に到達するための最も「手頃な」かつスケーラブルな方法であり続けています」と、Threat Fabric は警告しています。

「電話による攻撃配信のような洗練された戦術は、より多くのリソースを必要とし、拡張が困難ですが、公式ストアやサードパーティ ストアのドロッパーを使用すると、脅威アクターは合理的な努力で、疑いを持たない幅広いオーディエンスにリーチできます。」

ドロッパーの唯一の欠点は、被害者がペイロードのインストールに手動で同意する必要があるため、被害者を少なくとも 1 回は手動で操作する必要があることです。これは被害者にとって最も脆弱な瞬間です。

ただし、説得力のある Web サイトとインターフェイスを使用すると、マルウェアがこの方法でインストールされる可能性が高くなります。

このため、可能な限りリモート ソースからの更新を許可しないこと、および URL を分析して、サード パーティのサイトではなく公式の Google Play ストアからアプリをインストールしていることを確認することが常に重要です。