サイバーセキュリティ研究者は、暗号通貨ウォレットや銀行アプリを含む800以上のアプリを標的とする、4つのアクティブなAndroidマルウェアファミリーを発見しました。これらのマルウェアは、多くの従来のセキュリティツールでは検出できない方法を使用しています。ZimperiumのzLabsチームは、RecruitRat、SaferRat、Astrinox、Massivとして知られるトロイの木馬の追跡結果を公開しました。同社の調査によると、各ファミリーには独自のコマンド&コントロールネットワークがあり、これを利用してログイン情報を盗み、金融取引を乗っ取り、感染したデバイスからユーザーデータを取得しています。暗号通貨および銀行アプリは複数のマルウェアから新たな脅威に直面しています。これらのマルウェアファミリーは、Android上で暗号通貨や金融アプリを管理する人々にとって直接的な脅威です。インストールされると、トロイの木馬は偽のログイン画面を実際の暗号通貨や銀行アプリの上に重ねて表示し、パスワードやその他のプライベート情報をリアルタイムで盗みます。その後、マルウェアは実際のアプリインターフェースの上に偽のHTMLページを配置し、同社が「非常に説得力のある欺瞞的な外観」と呼ぶものを作り出します。「アクセシビリティサービスを利用してフォアグラウンドを監視し、マルウェアは被害者が金融アプリを起動した正確な瞬間を検知します」と、Zimperiumのセキュリティ研究者は記しています。レポートによると、これらのトロイの木馬は資格情報の盗難だけでなく、ワンタイムパスコードの捕捉、攻撃者へのデバイス画面のストリーミング、自身のアプリアイコンの隠蔽、アンインストールの妨害なども行うことができます。各キャンペーンは、異なる餌を使って人々を騙す仕組みになっています。SaferRatは、プレミアムストリーミングサービスへの無料アクセスを約束する偽のウェブサイトを使って拡散しました。RecruitRatは、ペイロードを求人応募の一部として隠し、ターゲットをフィッシングサイトに誘導して悪意のあるAPKファイルのダウンロードを促しました。Astrinoxは、同じく募集を装った方法を用い、ドメインxhire[.]ccを使用しました。そのサイトを訪れるデバイスに応じて、異なるコンテンツを表示しました。AndroidユーザーにはAPKのダウンロードを促し、iOSユーザーにはApple App Storeのように見えるページを表示しました。しかし、セキュリティ研究者は、iOSが実際にハッキングされた証拠は見つかりませんでした。Massivの配布方法については、調査期間中に確認できませんでした。これら4つのトロイの木馬はすべて、フィッシングインフラ、SMS詐欺、そして人々の迅速な行動や好奇心を利用したソーシャルエンジニアリングを用いて、危険なアプリのサイドロードを促していました。暗号マルウェアは検出を回避これらのキャンペーンは、セキュリティツールを回避することを目的としています。研究者は、これらのマルウェアファミリーが高度な逆解析防止技術やAndroidアプリケーションパッケージ(APK)の構造改ざんを用いて、「従来の署名ベースのセキュリティメカニズムに対してほぼ検出されない」状態を維持していることを発見しました。ネットワーク通信も通常のトラフィックと混ざり合っています。トロイの木馬はHTTPSやWebSocket接続を利用してコマンドサーバーと通信し、一部のバージョンではこれらの接続に追加の暗号化層を重ねています。もう一つ重要なのは持続性です。現代のAndroid銀行トロイの木馬は、単純な一段階の感染ではなく、多段階のインストールプロセスを採用しており、Androidの変化する権限モデルを回避し、ユーザーの明示的な許可なしに動作しにくくしています。レポートでは、ターゲットとなった800以上のアプリ内で特定の暗号ウォレットや取引所を特定しませんでした。しかし、オーバーレイ攻撃、パスコードの傍受、画面ストリーミングにより、Google Playストア外から悪意のあるAPKをインストールした場合、どのAndroidベースの暗号アプリもリスクにさらされる可能性があります。SMSや求人情報、プロモーションウェブサイトのリンクからアプリをダウンロードすることは、モバイルマルウェアがスマートフォンに侵入するための確実な方法の一つです。Androidデバイスで暗号を管理している人々は、公式のアプリストアのみを使用し、何かをダウンロードするよう求めるポップアップメッセージには注意すべきです。最も賢い暗号の専門家たちはすでに私たちのニュースレターを読んでいます。参加したいですか? 彼らに続きましょう。
新たなトロイの木馬の波が暗号通貨ウォレットと銀行アプリを標的に
サイバーセキュリティ研究者は、暗号通貨ウォレットや銀行アプリを含む800以上のアプリを標的とする、4つのアクティブなAndroidマルウェアファミリーを発見しました。これらのマルウェアは、多くの従来のセキュリティツールでは検出できない方法を使用しています。
ZimperiumのzLabsチームは、RecruitRat、SaferRat、Astrinox、Massivとして知られるトロイの木馬の追跡結果を公開しました。
同社の調査によると、各ファミリーには独自のコマンド&コントロールネットワークがあり、これを利用してログイン情報を盗み、金融取引を乗っ取り、感染したデバイスからユーザーデータを取得しています。
暗号通貨および銀行アプリは複数のマルウェアから新たな脅威に直面しています。
これらのマルウェアファミリーは、Android上で暗号通貨や金融アプリを管理する人々にとって直接的な脅威です。
インストールされると、トロイの木馬は偽のログイン画面を実際の暗号通貨や銀行アプリの上に重ねて表示し、パスワードやその他のプライベート情報をリアルタイムで盗みます。その後、マルウェアは実際のアプリインターフェースの上に偽のHTMLページを配置し、同社が「非常に説得力のある欺瞞的な外観」と呼ぶものを作り出します。
「アクセシビリティサービスを利用してフォアグラウンドを監視し、マルウェアは被害者が金融アプリを起動した正確な瞬間を検知します」と、Zimperiumのセキュリティ研究者は記しています。
レポートによると、これらのトロイの木馬は資格情報の盗難だけでなく、ワンタイムパスコードの捕捉、攻撃者へのデバイス画面のストリーミング、自身のアプリアイコンの隠蔽、アンインストールの妨害なども行うことができます。
各キャンペーンは、異なる餌を使って人々を騙す仕組みになっています。
SaferRatは、プレミアムストリーミングサービスへの無料アクセスを約束する偽のウェブサイトを使って拡散しました。RecruitRatは、ペイロードを求人応募の一部として隠し、ターゲットをフィッシングサイトに誘導して悪意のあるAPKファイルのダウンロードを促しました。
Astrinoxは、同じく募集を装った方法を用い、ドメインxhire[.]ccを使用しました。そのサイトを訪れるデバイスに応じて、異なるコンテンツを表示しました。
AndroidユーザーにはAPKのダウンロードを促し、iOSユーザーにはApple App Storeのように見えるページを表示しました。しかし、セキュリティ研究者は、iOSが実際にハッキングされた証拠は見つかりませんでした。
Massivの配布方法については、調査期間中に確認できませんでした。
これら4つのトロイの木馬はすべて、フィッシングインフラ、SMS詐欺、そして人々の迅速な行動や好奇心を利用したソーシャルエンジニアリングを用いて、危険なアプリのサイドロードを促していました。
暗号マルウェアは検出を回避
これらのキャンペーンは、セキュリティツールを回避することを目的としています。
研究者は、これらのマルウェアファミリーが高度な逆解析防止技術やAndroidアプリケーションパッケージ(APK)の構造改ざんを用いて、「従来の署名ベースのセキュリティメカニズムに対してほぼ検出されない」状態を維持していることを発見しました。
ネットワーク通信も通常のトラフィックと混ざり合っています。トロイの木馬はHTTPSやWebSocket接続を利用してコマンドサーバーと通信し、一部のバージョンではこれらの接続に追加の暗号化層を重ねています。
もう一つ重要なのは持続性です。現代のAndroid銀行トロイの木馬は、単純な一段階の感染ではなく、多段階のインストールプロセスを採用しており、Androidの変化する権限モデルを回避し、ユーザーの明示的な許可なしに動作しにくくしています。
レポートでは、ターゲットとなった800以上のアプリ内で特定の暗号ウォレットや取引所を特定しませんでした。しかし、オーバーレイ攻撃、パスコードの傍受、画面ストリーミングにより、Google Playストア外から悪意のあるAPKをインストールした場合、どのAndroidベースの暗号アプリもリスクにさらされる可能性があります。
SMSや求人情報、プロモーションウェブサイトのリンクからアプリをダウンロードすることは、モバイルマルウェアがスマートフォンに侵入するための確実な方法の一つです。
Androidデバイスで暗号を管理している人々は、公式のアプリストアのみを使用し、何かをダウンロードするよう求めるポップアップメッセージには注意すべきです。
最も賢い暗号の専門家たちはすでに私たちのニュースレターを読んでいます。参加したいですか? 彼らに続きましょう。