Cellik は、Play ストア アプリを目に見えないトロイの木馬に変える新しい危険な Android マルウェアです

ウイルスやマルウェアなど、防御すべき IT の危険のパノラマでは、他のものよりもはるかに深刻な脅威となるものがあります。これは、マルウェアの最も危険なミクロカテゴリであるトロイの木馬によく当てはまります。特にユーザーが気付かないうちにオペレーティング システムに侵入できた場合、重大な損害を引き起こす可能性があります。

ここ数日、Android 向けの新たなマルウェアの発見により、モバイル サイバー脅威の状況が大きく揺るがされています。このマルウェアは、その特に陰険なアプローチにより、サイバーセキュリティ コミュニティで議論を引き起こしています。デバイスに感染するだけでなく、Google Play ストアで最も人気のあるアプリに対するユーザーの信頼を悪用し、それらを検出が困難な攻撃媒体に変えます。

新しい悪意のあるエージェントは次のように呼ばれます。 チェリク iVerify の研究者によってサービスとして認識されています サービスとしてのマルウェア (MaaS) 最も隠されたフォーラムで提供されています。その最も注目すべき、そして厄介な機能は、バージョンを作成する機能です。 トロイの木馬化 正規のアプリケーションの元のインターフェイスと機能をそのまま維持します。この詳細により、近年専門家によって発見された最も危険なサイバー脅威の 1 つとなります。

すぐに使えるマルウェアを生成するサイバー犯罪者向けのプラットフォーム

Cellik は、技術的スキルが限られたサイバー犯罪者向けに設計された、完全でアクセスしやすいプラットフォームとして宣伝されています。 iVerify によると、このサービスは月額 150 ドルのサブスクリプション、または 900 ドルの永久ライセンスで利用可能であり、現在サイバー犯罪経済で確立されているモデルです。

この製品の中心となるのは、攻撃者が Google Play ストアからアプリケーションを直接選択できるようにする APK ビルダーです。目的のアプリが選択されると、システムは、知覚されるユーザー エクスペリエンスを変えることなく、危険なマルウェアを統合する修正バージョンを生成します。

このアプローチでは、同じアイコンと名前が維持され、さらにインストール後も期待どおりに機能し続ける特定のアプリに対するユーザーの信頼を利用するため、感染が成功する可能性が大幅に高まることは明らかです。

技術的な観点から見ると、Cellik は非常に洗練された Android マルウェアであると言えます。アナリストによって文書化された機能には、感染したデバイスの画面をリアルタイムでキャプチャしてストリーミングする機能、アプリの通知を傍受する機能、ファイル システムを探索する機能、機密ファイルを盗む機能などが含まれます。このマルウェアは、リモートでデータを削除したり、暗号化されたチャネルを通じてコマンド アンド コントロール サーバーと通信したりすることもできるため、トラフィック分析と悪意のあるアクティビティの特定がより複雑になります。

特に危険なのは、 隠しブラウザモードこれにより、攻撃者は Cookie とすでにアクティブなセッションを悪用して、被害者のデバイスから Web サイトを直接閲覧できるようになります。このようにして、オンライン サービスへのアクセスなどの操作は、資格情報を再度要求することなく、一部のセキュリティ対策を回避して実行できます。

アプリのインジェクションと認証情報の盗難

Cellik には、次のシステムも含まれています。 アプリインジェクション これにより、偽のログイン画面をオーバーレイしたり、特定のアプリケーションに悪意のあるコードを挿入したりすることができます。この手法は、ユーザーが正当であると信じているインターフェイスを悪用して、銀行の資格情報、デジタル サービス アカウント、または企業データを盗むためによく使用されます。

専門ポータル iVerify によると、このマルウェアはさらに進んで、デバイスにすでにインストールされているアプリにペイロードを挿入する可能性があります。このシナリオでは、このシステムの脅威は明らかであり、長年信頼できると考えられていたアプリケーションが攻撃媒体に変わり、感染の特定と属性の特定がさらに困難になります。

Play Protect ノードと販売者の声明

最も物議を醸している点は、Google Play の保護を回避できる疑いがあるという Cellik 販売者の主張に関するものです。フォーラムで報告された内容によると、このマルウェアは、信頼できると考えられるアプリケーション パッケージに統合されているため、Play プロテクトを回避できる可能性があります。

iVerify は、Play Protect は未知のアプリや明らかに悪意のあるアプリを検出するように設計されていますが、人気のあるアプリ内に隠されたトロイの木馬は自動チェックやデバイスレベルのスキャン システムをすり抜ける可能性が高い可能性があると指摘しています。

ポータル ピーピーコンピュータ この件についてGoogleに公式コメントを求めたが、記事公開時点ではまだ返答は得られていない。

このような脅威から身を守る方法

このマルウェア キャンペーンと、ここ数週間で出現した他の多くのマルウェア キャンペーン (BankBot-YNRK や DeliveryRAT など) は、サイバー脅威の分野における傾向、つまり、ハッカーが銀行業務や配送アプリなどの日常的なアプリに対するユーザーの信頼を悪用していることを浮き彫りにしています。感染したアプリは多くの場合、元のアプリと同じように見えますが、卑劣な方法で動作し、データを盗んでリモート サーバーに送信します。

この場合も、バージョンの拡散が重要であることを強調することが重要です。 トロイの木馬化 Play ストアからのアプリのインストールは通常、サイドローディング、つまり外部ソースからの APK の手動インストールによって行われます。元のアプリは公式ストアで入手できますが、悪意のある亜種はダウンロード サイト、フォーラム、プライベート メッセージなどの非公式チャネルを通じて配布されます。

このため、業界の専門家は Android ユーザーに対し、未検証のソースからの APK のサイドローディングを避け、Play プロテクトをアクティブな状態に保ち、アプリによって要求される権限を注意深く確認し、デバイスの異常な動作を監視することを推奨しています。

さらに、これらのマルウェアが悪用する脆弱性の多くは Android の最新バージョンですでに修正されている可能性があるため、オペレーティング システムを最新の状態に保つことで感染の可能性が大幅に減少するとアナリストは説明しています。

したがって、この種のサイバー脅威は内部で阻止されていることが多いため、たとえリリースに魅力的なニュースや重要なニュースが伴っていなくても、Android デバイスを常にアップデートするようお勧めします。