ElibomiAndroidマルウェア

サイバー犯罪者によるライブ攻撃で使用されているフィッシングAndroidマルウェアの新しいファミリーが発見されました。この脅威は、Elibomiと名付けた研究者によって発見されました。この脅威は、ソーシャルエンジニアリングの戦術と偽のAndroidアプリケーションに依存して、被害者から情報を収集し、ハッカーの管理下にあるサーバーに侵入させます。

最初のエリボミ攻撃

Elibomiの脅威に関連する最初の攻撃は、2020年後半に発生しました。攻撃者は、被害者のデバイスに偽の「IT証明書」アプリケーションを配信しました。武器化されたアプリケーションは、存在しないサーバーでデバイスを検証するふりをするIT証明書管理モジュールを模倣しました。アプリケーションは、SMS権限と管理者権限の受信を要求します。後者は、削除の試みをより困難にするために悪用される可能性があります。被害者には架空の「セキュリティスキャン」がバックグラウンドで表示されますが、アプリケーションは電子メール、電話番号、保存されているSMS / MMSメッセージなどの機密情報を収集しています。

2回目のエリボミ攻撃

Elibomiの脅威を展開した最近のキャンペーンは、インドの納税者を対象としていました。ハッカーは偽のアプリケーションのIDを切り替え、現在は税務申告アプリケーションとして提示されています。攻撃は、インドの所得税局からのものであると主張する標的型SMSメッセージの配布から始まります。より合法的に見えるように、ルアーメッセージには対象となる個人の名前が記載されています。この段階での目標は、所得税の還付が緊急に更新されたという誤ったふりをして、被害者に提供されたリンクをクリックさせることです。

破損したリンクは、再びインドの所得税局に属していると主張するフィッシングページにつながります。フィッシングページは、Elibomiの脅威を秘密裏に運ぶアプリケーションをダウンロードするようにユーザーに指示します。脅迫的なアプリケーションのパッケージは、パターンに従って名前が付けられます-random word.randomstring.imobile。 infosecの研究者は、配布される偽のアプリケーションのいくつかのバージョンを発見しました。偽のログインページのみを表示するものもあれば、偽の登録と税金の還付要求のオプションを備えているものもあります。

Elibomiの脅威は、侵害されたデバイスから機密データをキャプチャするだけでなく、被害者から引き出すことができた財務情報もキャプチャします。電子メール、電話番号、SMS / MMSメッセージ、財務データ、および個人を特定できる情報を取得できます。不思議なことに、収集されたデータはインターネットに公開されているサーバーにアップロードされ、被害者の情報を効果的に公開しました。ハッカーは、自分の過ちが発見され、収集された情報が利用できなくなったことに気付いた可能性があります。