Jokerマルウェアを配布する24のGoogle Playアプリが見つかりました
Google Playによると、疑いを持たないAndroidユーザーに新しいジョーカーマルウェアを感染させるように設計された悪意のあるアプリは、合計472,000回ダウンロードされました。数は比較的多いようですが、完全に正確ではない可能性があることを指摘する必要があります。アストロターフィング技術はマルウェアオペレーターに非常に人気があります。つまり、ダウンロード数が常に信頼できるとは限りません。
それにもかかわらず、CSIS Security Groupの研究者によると、Jokerマルウェアは合計24のアプリケーションを通じて配信され 、EU加盟国のほとんどを含む37か国のユーザーと、極東および南アメリカ。ですから、私たちは小さなキャンペーンについて話しているのではありません。犯罪者がそれで何を達成したかを見てみましょう。
Table of Contents
巧妙な難読化技術と特定のターゲット設定により、ジョーカーは際立っています
CSIS Security Groupの専門家は、ジョーカーマルウェアを運ぶアプリケーションの種類については言及していません。また、Googleが独自にアプリを検出してPlayストアから削除したGoogleも同様ではありません。これは、対象ユーザーベースの正確な人口統計を決定することは非常に簡単ではないことを意味します。ただし、これは、できるだけ多くの人々を攻撃することを目的とした一般的なスプレーアンドプレイキャンペーンではないことは言うまでもありません。
一部のアプリケーションはターゲットに関係なく感染を続行しますが、ほとんどのジョーカーアプリはユーザーの電話番号をチェックし、アプリケーション内でハードコードされた国コードのリストにあるかどうかを確認するようにプログラムされています。一部のアプリは、デバイスが米国またはカナダ国民に属していることがわかった場合に操作を中止するように設計されています。ターゲットを慎重に選ぶことがそれと関係があるかどうかを判断することは困難ですが、研究者によると、ジョーカーのコードの一部とそのコントロールパネルのいくつかの特性は、著者が中国人であることを示唆しています。
悪意のあるアプリは、ターゲットが感染に適していると判断すると、Command&Controlサーバー(C&C)から第2ステージのペイロードをダウンロードしますが、可能な限り静かに実行しようとします。 C&Cとの通信は、感染の成功に関する短いレポートの送信と、暗号化された形式でのペイロードの受信に限定されています。マルウェアは、できるだけ少ないJavaコマンドを実行するように設計されているため、ジョーカーが感染したアプリの一部はスプラッシュスクリーンを使用しているため、検出が難しく、悪意のあるタスクを隠すことができません。
より多くのことができるプレミアムサブスクリプションマルウェア
第2段階のペイロードが実行されると、Jokerマルウェアは定期的にC&Cに連絡し、指示を待ちます。観測されたCSISキャンペーンでは、悪意のあるアプリケーションを使用して、被害者を有料サービスに加入させました。
C&CはURLを送信し、JokerはJavaScriptを使用してURLを開き、サブスクリプションの手順に従います。 Jokerが使用するプレミアムサービスの多くは、SMSとしてユーザーに送信される追加のコードを必要とします。マルウェアは、テキストメッセージを読み取り、コードを取得し、サブスクリプションを完了することができます。
CSISの専門家は、被害者の結果についてあまり多くの詳細を提供していませんでしたが、デンマークの一部のユーザーは、週6.71ユーロ(約7.40ドル)のサービスに登録していると述べました。
この特定のキャンペーンでは、ジョーカーがお金を稼ぐために使用されたことは明らかです。ただし、他の目的にも使用できることを示唆するものがいくつかあります。
テキストメッセージを読み取ることができるという事実は、多くの時間と労力が費やされたことを非常に明確に示しています。さらに、CSISの研究者が詳しく調べたところ、ジョーカーはSMSを読むことができるだけでなく、その内容をC&Cに送信できることがわかりました。これに加えて、専門家はジョーカーが被害者の連絡先リストをスクレイピングし、マルウェアのオペレーターに送信することを観察しました。言い換えれば、いくつかの小さな変更を加えることで、ジョーカーを強力なサイバースパイツールに変えることができます。
マルウェアが再びGoogle Playに表示される
CSISの専門家は、GoogleがPlayストアから悪意のあるアプリを迅速かつ効率的に削除したことを称賛しました。ただし、そもそも登場してはならないことを言わなければなりません。
Androidの公式アプリストアのマルウェアの問題は新しいものではなく 、Googleはしばらくの間、それを解決する方法を模索しています。残念ながら、おそらく新しい改良されたフィルターと保護メカニズムにもかかわらず、定期的にネットをすり抜ける悪意のあるアプリケーションが不足することはありません。これは、特に新しいアプリが要求する権限に関しては、これまでと同じように注意する必要があることを意味します。