研究者は新しい魅力的な子猫のモバイルマルウェアを発見します
IBMと協力しているセキュリティ研究者は、最近、CharmingKittenおよびAPT35というエイリアスで知られる脅威アクターによって拡散および使用される新しいAndroidマルウェアの分析を公開しました。研究者は、マルウェアはITG18と呼ばれる脅威アクターによって使用されており、イランとの接続が疑われると述べていますが、このAPTはCharmingKittenともかなり重複しています。
問題のマルウェアは「LittleLooter」と呼ばれ、Androidデバイスのバックドアとして機能します。 IBMの研究者によると、LittleLooterはITG18グループのみが使用するツールです。ただし、設計上の問題もいくつかあります。
マルウェアを含むファイルは、おそらくイランのハッカーグループに属し、関連付けられているサーバーで見つかりました。コンテナは、MD5チェックサム「a04c2c3388da643ef67504ef8c6907fb」を使用した「WhatsApp.apk」という名前のWhatsAppのインストーラーを装ったAndroidアプリパッケージでした。
LittleLooterは、感染したデバイスからのビデオとサウンドの録音、デバイスからのファイルのアップロードと抽出、進行中の会話の録音、インストール済みアプリのチェック、デバイスのさまざまな機能のオン/オフステータスの操作など、多くの機能を備えたさまざまなスティーラーです。 Bluetooth、Wi-Fi、モバイルデータとして、通話ログを確認します。
研究者たちは以前、ハッカーに以前のバージョンのマルウェアの使用方法を訓練することを目的とした何時間ものビデオも発見しました。最新のLittleLooterにはv5のスタンプが付いていますが、マルウェアの使用方法に関するチュートリアルはv4用でした。
LittleLooterは、そのコマンドアンドコントロールインフラストラクチャについて、アメリカのフラワーショップに属していると主張するサーバーに接続しようとします。サーバーは、2020年半ばからオンラインで稼働しています。通信は、AESを使用して圧縮および暗号化されます。
すべての同様の攻撃やモバイルマルウェアと同様に、IBMの研究者は、できるだけ多くのデバイスとそれらのデバイス上のアプリケーションで多要素認証を有効にすることを推奨しました。 IBM SecurityX-Forceのセキュリティ研究者であるAllisonWikoff氏は、特にすべてのベンダーがMFAを実装したり、製品に必須にしたりするわけではないため、研究者はMFAの重要性を「顔が真っ青になる」まで打ち明け続けると述べました。