銀行の認証情報を標的とした Android 向けの新たなトロイの木馬キャンペーンが出現

の研究者たちは、 ビットディフェンダー Android デバイスをターゲットとした洗練されたマルウェア キャンペーンを報告しました。このキャンペーンでは、ソーシャル エンジニアリング技術と正規のプラットフォームの悪用を組み合わせて、デバイスを完全に制御できるウイルスを拡散させます。

攻撃者の目的はよくあるもので、ユーザーから機密データと銀行の認証情報を盗むことです。他のキャンペーンと比較して、このキャンペーンには懸念すべき側面があります。それは、ポータルの良い名前を悪用しているということです。 ハグフェイスは、グローバル コミュニティが人工知能モデル、データセット、アプリケーションを共有して、悪意のあるコンテンツを配布し、通常は疑わしいソースからのトラフィックをブロックするセキュリティ フィルターを回避するプラットフォームです。すべての詳細を調べてみましょう。

このトロイの木馬はどのように配布されるのか

当初の予想どおり、Android デバイスに影響を及ぼし、デバイスを完全に制御できる RAT (リモート アクセス トロイの木馬) に感染させる、洗練されたマルウェア キャンペーンの詳細が明らかになりました。

「攻撃チェーン」は、いつものように、疑いを持たないユーザーをトロイの木馬のインストールに誘導するために特別に作成されたアプリケーションをユーザーがダウンロードしたときに始まります。この特定のケースでは、アプリは次のように呼ばれます。 トラストバスティオン (またはその後のバリエーションでは プレミアムクラブ) は、電話に存在するウイルスの疑いがあることをユーザーに「警告」する誤解を招く広告を通じて宣伝されている古典的なアプリです。

このアプリは最初は無害に見えますが、機能するにはユーザーがアップデートをインストールする必要があります。ただし、更新画面はアプリを更新するための公式の方法とは異なりますが、疑惑を引き起こさないように、Android 画面と Google Play ストアの更新画面の両方を忠実にシミュレートするように設計されており、（残念ながら）特に注意力のないユーザーや経験の浅いユーザーを騙しません。

悪者は「サーバーサイドポリモーフィズム」を悪用して安全を確保

ユーザーがアップデートのインストールに同意した後、アプリは約束どおりにダウンロードを続行しません。実際には、アプリはサーバーに接続し、プラットフォーム上でホストされているフォルダーにダウンロードをリダイレクトします。 ハグフェイス。

予想通り、この側面は非常に重要です。 ハグフェイス ウイルス対策プログラムでは悪意のあるプラットフォームとして認識されません。プラットフォーム上のフォルダーは、新しいバージョンのウイルスで 15 分ごとに自動的に更新されます。

コードは実質的に常に同じですが、ファイルのデジタル フィンガープリント (ハッシュ) を変更する小さな変更が加えられ、マルウェアが静的デジタル署名に基づく検出を回避できるようになります。このテクニックはと呼ばれます サーバーサイドのポリモーフィズム。

このトロイの木馬はインストールされると、デバイスの完全な制御を目的とします。

偽のアップデートのインストール手順が完了すると、感染したデバイスには本物のマルウェアがインストールされます。これにより、ユーザーに侵入的なアクセス許可の付与を要求し始め、その要求をセキュリティ コンポーネントの背後にマスクして、アクセシビリティ サービスのアクティブ化という目標を達成します。

この許可を取得すると、トロイの木馬は画面を録画し、ユーザーの行動を監視し、正規のウィンドウに「不正な」ウィンドウを重ねてアクセス資格情報を盗むことができるようになります。特に銀行アプリやメッセージング アプリ (OTP によく使用される) のアプリをターゲットにします。

この時点で、トロイの木馬は、常時接続を維持しているサーバーに画面録画を送信します。その背後にあるインフラストラクチャはリモート コントロール サーバーとして使用され、コマンドを送信し、盗まれたデータを受信し、更新された構成情報を提供します。

攻撃者は、Hugging Face の「制限」を悪用しました。

一般に、このタイプの攻撃は次のように設計されているため効果的です。 弾力性のある: リポジトリ (デジタル アーカイブなど) が閉じられると、攻撃者は同じコードを維持したまま (上で説明した小さな変更を加えて) 操作を別のアーカイブにすぐに移動できます。

Bitdefenderが手を差し伸べた ハグフェイス 先ほど話した研究を公開する前に、このマルウェアをホストしているデータセットが完全に削除されました。

ただし、厳密なフィルターがないため、コンテンツをプラットフォームに簡単にアップロードできるという弱点が残り、攻撃者に簡単に悪用される可能性があります。希望は、将来的にも ハグフェイス この安全性の問題を解決できます。