Androidハッカーの脅威
Androidハッカーは現在、銀行、暗号通貨、ソーシャルメディア分野の800以上のアプリケーションを標的にしています。サイバーセキュリティ企業Zimperiumによると、研究者たちは、資格情報を盗み、不正な金融取引を行い、大規模にデータを抽出するために高度なコマンド&コントロールインフラを使用する4つのアクティブなマルウェアファミリーを特定しました。
「これらのキャンペーンは、銀行、暗号通貨、ソーシャルメディア分野の800以上のアプリケーションを標的にしています。高度な逆解析技術と構造的APK改ざんを採用することで、これらのファミリーは従来の署名ベースのセキュリティメカニズムに対してほぼゼロの検出率を維持することがよくあります。」
マルウェアファミリーの詳細
マルウェアファミリーの名前はRecruitRat、SaferRat、Astrinox、Massivです。攻撃者は一般的に、フィッシングウェブサイト、詐欺的な求人、偽のソフトウェア更新、テキストメッセージ詐欺、プロモーションの誘惑を利用して、犠牲者に悪意のあるAndroidアプリをインストールさせることを試みます。
マルウェアの動作
一度インストールされると、マルウェアはアクセシビリティ権限を要求し、アプリアイコンを隠し、アンインストールの試みをブロックし、偽のロックスクリーンを通じてPINやパスワードを盗み、ワンタイムパスコードをキャプチャし、デバイスの画面をライブストリーミングし、正当な銀行や暗号アプリの上に偽のログインページを重ねます。
「オーバーレイ攻撃は、資格情報収集ライフサイクルの基盤です。アクセシビリティサービスを使用して前景を監視することで、マルウェアは犠牲者が金融アプリケーションを起動する正確な瞬間を検出します。マルウェアはその後、悪意のあるHTMLペイロードを取得し、それを正当なアプリケーションのユーザーインターフェースに重ねて、高度に説得力のある欺瞞的な外観を作り出します。」
検出回避の手法
同社は、キャンペーンがHTTPSおよびWebSocket通信を使用して悪意のあるトラフィックを通常のアプリ活動に混ぜ合わせ、一部のバリアントは検出を回避するために追加の暗号化層を加えると述べています。
