数百万台の Android デバイスでゲリラ マルウェアが眠り続ける

サイバー犯罪組織である Lemon Group は、スマートフォン、時計、テレビ、TV ボックスなど、世界中の約 890 万台の Android ベースのデバイスにゲリラ マルウェアを埋め込むことに成功しました。サイバーセキュリティ企業のトレンドマイクロは、最近のレポートでこの情報を明らかにしました。

このゲリラ マルウェアは、追加の悪意のあるソフトウェアのロード、SMS 経由で送信されたワンタイム パスワード (OTP) の傍受、感染したデバイスを介したリバース プロキシの確立、WhatsApp セッションへの侵入など、さまざまな機能を備えています。

トレンドマイクロの研究者によると、感染したデバイスはモバイル プロキシに変化し、SMS メッセージ、ソーシャル メディア、オンライン メッセージング アカウントを盗んで販売するツールとして機能するほか、広告やクリック詐欺を通じて収益を生み出します。これらの調査結果は、最近の BlackHat Asia カンファレンスのレポートで発表されました。

このマルウェアは世界中に拡散しており、米国、メキシコ、インドネシア、タイ、ロシア、南アフリカ、インド、アンゴラ、フィリピン、アルゼンチンを含む 180 か国以上で感染デバイスが確認されています。

ゲリラを植え付けるために使用されたサプライチェーン攻撃

Android デバイス上のマルウェアの存在は、標準のシステム イメージを強化するためにメーカーが雇ったサードパーティの関与に起因する可能性があります。トレンドマイクロは、ゲリラ マルウェアの分析の中で、携帯電話用のファームウェア コンポーネントの製造を担当する会社が、車のダッシュボード システムで使用されるアプリである Android Auto 用の同様のコンポーネントも作成していることを発見しました。

これにより、車内エンターテイメント システムが感染する可能性に関する懸念が生じます。研究者らは研究中にこの点を強調した。ゲリラに対する捜査は、携帯電話が侵害されたという報告が表面化した後に始まりました。研究者たちは感染した携帯電話を入手し、フォレンジック検査のために ROM イメージを抽出しました。研究者らは、レポート内で、println_native という関数にコード スニペットを挿入する、libandroid_runtime.so という名前の操作されたシステム ライブラリを特定しました。

挿入されたコードの目的は、Android オペレーティング システムがバイトコードを実行するために利用する DEX ファイルをデバイスのデータ セクションから復号し、メモリにロードすることです。このファイルは Android ランタイムによって実行され、Sloth として知られる攻撃者が使用するプライマリ プラグインをアクティブ化し、通信用の Lemon Group ドメインなどの構成を提供します。

Lemon Group は、メーカーの出荷データ、さまざまなユーザーからのさまざまな広告コンテンツ、詳細なハードウェアおよびソフトウェア情報を分析するためのビッグデータの活用に主に焦点を当てています。これにより、顧客を監視し、他のアプリケーションに感染させる可能性があります。

ゲリラには重要な能力がある

ゲリラ マルウェアのプライマリ プラグインは、特定の機能を提供する追加の専用プラグインを読み込みます。 SMS プラグインは、WhatsApp、JingDong、Facebook の SMS 経由で受信したワンタイム パスワードを傍受します。プロキシ プラグインは、感染したデバイスからリバース プロキシを確立し、攻撃者が被害者のネットワーク リソースを悪用できるようにします。 Cookie プラグインは、アプリ データ ディレクトリから Facebook Cookie を取得して C2 サーバーに送信し、同時に WhatsApp セッションをハイジャックして不要なメッセージを配布します。

さらに、このマルウェアには、被害者が正規のアプリケーションを使用している間に侵入的な広告を表示する Splash プラグインと、C2 サーバーから受信した APK (Android パッケージ キット) をサイレントにインストールまたはアンインストールする役割を担う Silent プラグインが含まれています。これらのアプリのインストールと起動はバックグラウンドで慎重に行われます。