Androidスマートフォンは、銀行業務、暗号通貨、仕事、ソーシャルメディアなど、私たちのデジタルライフの中心となっています。そして残念なことに、 サイバー犯罪者のお気に入りの標的多くのユーザーは、 「ウイルス対策ソフト」をインストールする すべてが終わり、現実は Android マルウェアが飛躍的に洗練され、従来の PC の脅威と真っ向から競合するようになりました。
ここ数か月、いくつかのセキュリティ研究所が、次の 3 つの非常に特殊なファミリに注目してきました。 FvncBot、SeedSnatcher、ClayRatの改良版これらは、迷惑な広告を表示するだけの単純なトロイの木馬ではありません。携帯電話を遠隔操作したり、銀行の認証情報を盗んだり、暗号通貨ウォレットを空にしたり、キーストロークを記録したり、さらにはデバイスのロックを自動的に解除したりすることさえできるマルウェアです。これらはすべて、肉眼で検出するのが非常に難しいアクセシビリティ サービスや画面オーバーレイを悪用することで行われます。
サイバーセキュリティの専門家は、しばらくの間、 Androidマルウェアの加速した進化、キャンペーンでは、家庭ユーザーだけでなく、企業の従業員や機密情報や関連する経済資金にアクセスできるプロファイルにも感染することを目指しています。
これらの脅威の背後には、 純粋に金銭的な動機 特にClayRatのようなスパイウェアの場合、国家とのつながりがある可能性のある高度な攻撃者(APT)として、長距離スパイ活動、データ窃盗、特定の被害者の追跡を目的としています。
Androidデバイスを侵害する方法は主に ソーシャルエンジニアリングや悪質なアプリの配布 Google Play以外ただし、サードパーティのストア、一般的なサービスを模倣したフィッシングドメイン、操作された APK へのリンクが共有される Telegram などのメッセージングチャネルも悪用されています。
これらの新しいトロイの木馬は、特に アクセシビリティサービス、スクリーンオーバーレイ、MediaProjection API (画面を録画したり共有したりするために使用)スパイツールに変え、 金融詐欺 非常に効果的です。
この文脈では、技術レポートですでに頻繁に言及されている 3 つの名前が強く浮上しています。 FvncBot、SeedSnatcher、ClayRatそれぞれが独自の戦術で活動していますが、すべての目標は同じです。それは、できるだけ多くの情報を盗み、疑いを持たれずにデバイスの制御を維持することです。
ますます攻撃的になるモバイル脅威の状況
サイバーセキュリティの専門家は、しばらくの間、 Androidマルウェアの加速した進化、キャンペーンでは、家庭ユーザーだけでなく、企業の従業員や機密情報や関連する経済資金にアクセスできるプロファイルにも感染することを目指しています。
これらの脅威の背後には、 純粋に金銭的な動機 特にClayRatのようなスパイウェアの場合、国家とのつながりがある可能性のある高度な攻撃者(APT)として、長距離スパイ活動、データ窃盗、特定の被害者の追跡を目的としています。
Androidデバイスを侵害する方法は主に ソーシャルエンジニアリングや悪質なアプリの配布 Google Play 以外では、サードパーティのストア、人気のサービスを模倣したフィッシング ドメイン、操作された APK へのリンクが共有される Telegram などのメッセージ チャネルも悪用されています。
これらの新しいトロイの木馬は、特に アクセシビリティサービス、スクリーンオーバーレイ、MediaProjection API (画面を録画または共有するために使用)は、スパイ活動や金融詐欺のための非常に効果的なツールになります。
この文脈では、技術レポートですでに頻繁に言及されている 3 つの名前が強く浮上しています。 FvncBot、SeedSnatcher、ClayRatそれぞれが独自の戦術で活動していますが、すべての目標は同じです。それは、できるだけ多くの情報を盗み、疑いを持たれずにデバイスの制御を維持することです。
FvncBot: VNC型リモートコントロールを備えたバンキング型トロイの木馬
彼らの主なトリックは、 mBank に関連するセキュリティ アプリケーションポーランドの有名金融機関。ユーザーはモバイルバンキングのセキュリティを強化する正規のアプリをインストールしていると信じていましたが、実際には、ユーザーの行動をすべて記録し、モバイルデバイスを遠隔操作できるトロイの木馬が侵入していました。
感染プロセスは、ローダーとして機能する「ドロッパー」アプリを通じて開始されます。このアプリは、難読化と暗号化サービスによって保護されています。 apk0day、Golden Crypt提供これにより、セキュリティソリューションを使用してコードを解析し、特定することが困難になります。アプリケーションを開くと、システムの安定性や保護を向上させるために「Google Play コンポーネント」と称するコンポーネントのインストールを促すメッセージが表示されます。
実際には、そのコンポーネント自体が FvncBotからの悪意のあるペイロードこのマルウェアは、セッションベースのアプローチを利用して、Android 13 で導入されたアクセシビリティ制限を回避します。そのため、最新バージョンのオペレーティング システムでも、マルウェアはデバイス上のほぼすべてのものを表示および制御するために必要な権限を有効にできます。
FvncBotを実行すると、ユーザーに許可を求めるプロンプトが表示されます。 アクセシビリティサービスの権限被害者が同意すると、トロイの木馬はシステム内で一種の「超能力」を獲得します。つまり、画面に表示されている内容を読み取ったり、開いているアプリケーションを検出したり、キー入力をシミュレートしたり、他のアプリの上にウィンドウを表示したり、銀行のログインなどの機密フォームでキー入力を記録したりできるようになります。
マルウェアは活動中にイベントとログを ドメインnaleymilva.it.comに関連付けられたリモートサーバーオペレーターは、感染した各デバイスの状態を監視するためにこのツールを使用しました。分析されたサンプルには、ポーランドを標的国として明示的に示すビルド識別子「call_pl」と、バージョン「1.0-P」が示されており、FvncBotはまだ開発の初期段階にあり、今後も進化を続ける可能性があることを示唆しています。
デバイス登録後、FvncBotはコマンドと制御インフラストラクチャと通信します。 HTTP と Firebase Cloud Messaging (FCM)これらのチャネルを通じてリアルタイムの指示を受信し、攻撃者の命令に従って動作を変更し、被害者の種類や進行中のキャンペーンに応じて特定のモジュールを有効化または無効化することができます。
このトロイの木馬に記載されている機能の中には、特に重要なものがいくつかあります。例えば、 WebSocket接続を開始または停止する これにより、デバイスのリモート制御が可能になります。攻撃者は、まるで携帯電話を手に持っているかのように、スワイプ、タップ、スクロール、アプリの起動、データの入力を行うことができます。
さらに、FvncBot が流出 アクセシビリティイベント、インストール済みアプリのリスト、デバイス情報 (モデル、バージョン、構成など)、オペレーターがターゲットの完全なリストを取得し、どの銀行アプリケーションや暗号通貨アプリケーションが存在するかを把握し、本当に興味のあるアプリにのみ悪意のあるオーバーレイを展開できるようにします。
トロイの木馬は展示の準備が整いました フルスクリーンのフェイクスクリーン銀行のインターフェースやその他のサービスを模倣することで、認証情報、カード情報、またはワンタイムコードを取得します。また、これらのオーバーレイは不要になった時点で非表示にできるため、被害者は画面のちらつき(通常は単純な視覚的なバグによるもの)以外、異常な動作にほとんど気付きません。
FvncBotのもう一つの印象的な特徴は、 リアルタイム画面ストリーミングのための MediaProjection APIこれを HVNC (Hidden Virtual Network Computing) 経由のリモート制御と組み合わせると、攻撃者は被害者が見ているものを正確に確認し、FLAG_SECURE フラグを使用してスクリーンショットをブロックしようとするアプリケーションでも、銀行のアプリを完全に自由に操作できるようになります。
この制限を克服するために、FvncBotは「テキストモード」を組み込んでおり、 従来のキャプチャができない場合でもインターフェースコンテンツそのため、銀行や決済アプリがセキュリティ上の理由でスクリーンショットを禁止している場合でも、トロイの木馬はアクセシビリティ サービスを利用して画面上の要素を読み取ることができます。
現時点ではこれについての公的な確認はありません。 主な分布ベクトルしかし、他の類似のバンキング型トロイの木馬のパターンから判断すると、スミッシング キャンペーン (フィッシング SMS)、メッセージ経由で送信されるリンク、有名なアプリやセキュリティ ツールとされるものの偽バージョンがアップロードされているサードパーティのアプリ ストアなどに頼る可能性が非常に高いと考えられます。
現在のサンプルはポーランドのユーザーと特定の団体に焦点を当てていますが、アナリストは FvncBot が他の国や銀行に適応するのは時間の問題です。言語、ロゴ、オーバーレイ テンプレートの変更は比較的簡単です。
SeedSnatcher: シードフレーズと2FAコードハンター
FvncBotの主なターゲットが従来の銀行口座である場合、 SeedSnatcherは暗号通貨エコシステムを完全にターゲットにしているこの Android マルウェア ファミリは、ウォレットのシード フレーズ、秘密鍵、そして一般的に暗号通貨ウォレットの制御を可能にするあらゆる情報を盗むように特別に設計されています。
SeedSnatcherは主に Telegramやその他のソーシャルチャンネル「Coin」という名前を使って、投資アプリ、暗号通貨管理ツール、または限定プロモーションを装う。攻撃者は、 正規のAPKと思われるもの取引、NFT、ブロックチェーンのニュースに関連する公開または非公開のグループを活用します。
インストールされると、悪意のあるアプリケーションは最初は目立った動作をしません。実際、その重要な特徴の一つは、 入国許可証はほとんど必要ありません。通常は SMS または基本機能へのアクセスのみを許可し、過剰な許可要求に重点を置くセキュリティ ソリューションで疑いが生じたり、アラートがトリガーされたりしないようにします。
しかし、裏ではSeedSnatcherが武器を展開し始めています。 WebView への動的なクラスローディングとステルス的なコンテンツ注入アプリは、コマンド アンド コントロール サーバーから機能を更新したり、オンザフライで変更したり、被害者が特定の暗号通貨関連のアプリケーションを開いたときにのみモジュールをアクティブ化したりすることができます。
最も危険な機能の一つは、 非常に説得力のあるフィッシングオーバーレイ これらの詐欺は、よく知られたウォレットアプリ、取引所、またはアカウント復旧画面を模倣しています。ユーザーは、ウォレットを復元したり本人確認をしたりするためにシードフレーズを入力していると信じていますが、実際には、すべての資金の管理権を攻撃者に引き渡していることになります。
シードフレーズに加えて、SeedSnatcherは 2段階認証(2FA)コードを取得するための着信SMSメッセージこれにより、SMS を第 2 要素として利用する取引サービスや取引プラットフォーム上のアカウントを乗っ取ることが可能となります。
マルウェアは暗号通貨の世界に限定されず、 デバイスからデータを盗み出す連絡先、通話履歴、携帯電話に保存されているファイル、および将来の詐欺行為や闇市場での販売に役立つ可能性のあるその他の情報が含まれます。
CYFIRMAによる調査によると、SeedSnatcherの運営者は 中国または中国語圏に拠点を置くグループマルウェアに関連するコントロール パネルや配布チャネルで見つかったその言語の指示に基づいています。
SeedSnatcher の権限昇格プロセスは、非常に計算されたパターンに従います。つまり、最小限の権限から開始し、後でさらに多くの権限を要求します。 ファイルマネージャー、オーバーレイ、連絡先、通話履歴、その他のリソースへのアクセスこの段階的な動作は、最初の起動からの大量の許可要求によってアクティブ化されるヒューリスティックベースのセキュリティ ソリューションを回避するのに役立ちます。
視覚的な欺瞞、SMSの盗難、クリップボードの監視、そしてサイレントなデータ窃盗の組み合わせにより、SeedSnatcherは これは、モバイル デバイスから暗号通貨を扱うすべてのユーザーにとって重大な脅威です。特にシードフレーズに基づく非管理型ウォレットを使用する場合はそうです。
ClayRat: ほぼ完全なデバイス制御を備えたモジュール型スパイウェア
検出された最新の反復は、 アクセシビリティサービスとデフォルトのSMS権限これにより、ClayRat はキーストロークを記録し、デバイスで受信した通知を読み取り、機密アプリケーションを監視し、画面と音声の両方を録音することができるため、携帯電話は真の監視ツールになります。
このマルウェアは、 システムアップデート、黒い画面、メンテナンスウィンドウをシミュレートするオーバーレイこれらは、攻撃者がバックグラウンドでデバイスを操作している間、悪意のある行為を隠蔽するために使用されます。ユーザーは「システムアップデート」画面などが表示されると、何も触らずに待機する傾向があり、サイバー犯罪者に十分な時間を与えてしまいます。
もう一つ特に心配なのは、ClayRatの デバイスのロックを自動的に解除するPIN、パスワード、パターンのいずれを使用する場合でも、画面録画とキーストロークのログ記録と組み合わせることで、ユーザーが認証情報を繰り返し入力しなくても、モバイル デバイスを完全に制御できます。
最近のキャンペーンでは、ClayRatは少なくとも25の YouTubeなどの正規のサービスを模倣したフィッシングドメインバックグラウンド再生と4K HDR対応を備えた「Pro」版を宣伝している。ユーザーはプレミアム版だと信じてアプリをダウンロードし、知らないうちにスパイウェアをインストールしてしまう。
また発見されました タクシーや駐車場のアプリを装ったアプリドロッパー ロシアなどの地域では、これらの偽アプリはClayRatのインストール手段として機能し、FvncBotのモデルに似ています。一見無害なアプリが実際には悪意のあるコンポーネントをダウンロードまたは起動します。
マルウェアは生成する 偽のインタラクティブな通知 システムまたは正当なアプリケーションから送信されたように見える攻撃で、ユーザーが攻撃者によって制御されているインターフェースを操作していることに気付かないように、ユーザーからの応答 (コード、操作確認、追加の権限など) を収集します。
以前のバージョンと比較すると、ClayRatの新しい亜種は削除がはるかに困難です。その永続化メカニズムと オーバーレイや画面ロックを通じてあなたのアクティビティを隠す機能 ユーザーがアプリケーションをアンインストールしたり、適切なタイミングでデバイスの電源をオフにしたりする機会が少なくなります。
これらの特徴と、APTグループと関連しているのではないかという疑念が相まって、 政府の後援の可能性このため、ClayRat は現在最も危険なモバイル スパイウェア ツールの 1 つとなっており、特に従業員が個人の携帯電話を使用して社内システムにアクセスする BYOD (Bring Your Own Device) ポリシーを採用している企業環境では危険です。
一般的な手法: アクセシビリティ、オーバーレイ、高度な回避
FvncBot、SeedSnatcher、ClayRatはそれぞれ異なる目的(従来の銀行業務、暗号通貨、高度なスパイ活動)を持っていますが、共通しているのは 重要な戦術とテクニック これが、実際のキャンペーンで彼らがこれほど大きな成功を収めている理由です。
まず、 Android アクセシビリティ サービスの悪用 これは現代のマルウェアの基盤となっています。元々は障害のある人がデバイスを操作できるように設計されたこの機能は、インターフェースのコンテンツの読み取り、画面の変化の検知、そしてアクションの自動化を可能にし、ユーザビリティとサイバー犯罪の両面において非常に有用です。
もう一つの共通点は、 正規のアプリケーションを偽装するためのオーバーレイ銀行、暗号通貨ウォレット、人気サービスなど、実際のアプリの上に偽の画面を配置することで、攻撃者は対象のアプリケーションを直接侵害することなく、認証情報、個人データ、およびユーザーが入力したあらゆる情報を取得できます。
さらに、これらのトロイの木馬は 高度な回避技術 分析と検出を複雑にするために、 Google Play Protectでマルウェアをスキャンするコードの難読化、apk0day などの外部暗号化サービス、必要な場合にのみコマンド アンド コントロール サーバーからダウンロードされるクラスの動的読み込み、さらにはトラフィックをわかりにくくする整数ベースのコマンド命令などです。
攻撃者のサーバーとの通信もより巧妙化しており、 Firebase Cloud Messaging で注文を受け取るリアルタイム制御のための WebSocket 接続の確立と、HTTP または HTTPS を介したデータの慎重な流出により、悪意のあるトラフィックが正当なトラフィックに混ざり、企業または家庭のネットワーク上で識別することが困難になります。
これらすべてが組み合わさって 非常に洗練されたソーシャルエンジニアリングこれらのアプリは、Google Playコンポーネント、セキュリティアプリ、公式バンキングツール、YouTubeなどの人気プラットフォームの「プロ」版、あるいはタクシーや駐車場といった人気サービスを装っています。その目的は、ユーザーの警戒心を解き、重要な権限をためらうことなく許可させてしまうことです。
FvncBot、SeedSnatcher、ClayRatからAndroidデバイスを保護する方法
完璧な対策というものはないが、基本的な良い習慣を実践することで、次のようなキャンペーンに騙される可能性を大幅に減らすことができる。 FvncBot、SeedSnatcher、ClayRat多くの攻撃は、ユーザーの不注意とデバイスの構成が不適切であることに依存しています。
最初のルールは明白ですが、最も効果的です。 信頼できるソースからのアプリケーションのみをインストールするGoogle Playやプロバイダの公式サイトなど 危険なアプリのリストを確認するフォーラム、Telegram チャンネル、または有料アプリの無料版を約束するページのリンクから APK をダウンロードすることは、今日ではモバイル マルウェアの主な侵入口の 1 つです。
それはまた必須である オペレーティングシステムとアプリケーションを常に最新の状態に保つGoogle やメーカーはセキュリティ上の脆弱性を修正するパッチを頻繁にリリースしており、多くのトロイの木馬は、最新バージョンをインストールするだけで回避できる既知の欠陥に依存しています。
パスワードと認証の管理も重要なポイントです。 各サービスに固有の強力なキーを使用し、2段階認証(2FA)を有効にします。 銀行、電子メール、ソーシャル ネットワーク、暗号通貨プラットフォームでは、2FA によって保護の層が追加されますが、一部のマルウェアは SMS 経由で 2FA コードを盗もうとすることもあるようです。
可能な限り、以下を選択することをお勧めします。 より強力な2FA方式従来の SMS の代わりに、認証アプリや物理的なセキュリティ キーなどの安全な通信手段を使用します。従来の SMS は、SeedSnatcher などのマルウェアによって傍受されやすくなります。
もう一つの重要なヒントは、 アプリケーションによって要求された権限動画の視聴、天気の確認、駐車場の管理ができると謳っているアプリが、SMSメッセージ、アクセシビリティサービス、連絡先、デバイス管理へのフルアクセスを要求してきたら、疑ってください。多くの攻撃は、ユーザーが利用規約を読まずに「同意する」をタップしてしまうことを狙っています。
企業環境では、組織は モバイルデバイス管理(MDM)ポリシー不正なアプリのインストールを制限し、不審な行動を検知するために定期的な監査を実施してください。さらに、SMS、メール、インスタントメッセージなど、フィッシング攻撃を検知するための従業員教育も不可欠です。
上級ユーザーの場合は、上記の対策に加えて、 特定のモバイルセキュリティソリューション アプリの動作を分析し、アクセシビリティの不正使用を検出し、デバイスの整合性を継続的にチェックするツールです。しかし、アプリのインストールと使用において、技術的なツールが常識に取って代わることはできません。
個人レベルでは、次のような特定の習慣を身につけることをお勧めします。 予期しないリンクには注意し、資格情報を要求する Web サイトの URL を確認してください。不明なアプリをインストールした後に表示される画面にシードフレーズや銀行の詳細を入力することは避け、疑わしい場合は、公式チャネルを通じて直接その組織またはサービスに連絡してください。
FvncBot、SeedSnatcher、そして改良されたClayRatの出現は、 バトルフロントはモバイルに移行しました。 デスクトップパソコンと同等、あるいはそれ以上の強度で攻撃を受けています。アクセシビリティの悪用、巧妙なオーバーレイ、VNCのようなリモートコントロール、そして高度な回避策が組み合わさることで、わずかな見落としが金銭の盗難、財布の中身の空っぽ化、あるいはデジタルライフの完全な暴露につながる可能性があります。スマートフォンが最優先の標的であることを認識し、それに応じた行動をとること、つまりインストールするもの、付与する権限、アカウントの管理方法に注意を払うことは、日々のセキュリティ対策の重要な要素となっています。
