FireScam モバイル マルウェア
FireScam という Android の脅威が新たに発見されました。この脅威は Telegram メッセージング アプリの強化版を装っています。この欺瞞的な手法により、脅威となるソフトウェアはユーザーの機密データを抽出し、侵害されたデバイスへのリモート アクセスを継続的に維持することができます。
目次
巧妙な偽装: 偽の Telegram プレミアム アプリケーション
FireScam は、偽造の「Telegram Premium」アプリケーションを装って配布されています。このマルウェアは、GitHub.io でホストされているフィッシング Web サイトを通じて拡散しており、ロシアの有名なアプリ マーケットプレイス RuStore を装っています。セキュリティ アナリストは、このモバイル脅威を複雑で適応性が高いと説明しています。インストールされると、広範な監視を可能にするドロッパー APK から始まる多段階の感染プロセスが実行されます。
詐欺サイト rustore-apk.github.io は RuStore のインターフェースを模倣しており、ユーザーを騙して「GetAppsRu.apk」というドロッパー APK ファイルをダウンロードさせるように設計されています。
FireScam 攻撃におけるドロッパーの役割
インストール後、ドロッパーは主要なペイロードの配信メカニズムとして機能します。このコア コンポーネントは、メッセージ、通知、アプリケーション データなどの機密情報を収集し、Firebase Realtime Database に送信する役割を担います。
ドロッパーは制御を強化するために、外部ストレージへのアクセスや、バージョン 8 以降を実行している Android デバイスでのアプリケーションのインストール、更新、削除など、複数の権限を要求します。
FireScam の特に懸念される点は、ENFORCE_UPDATE_OWNERSHIP 権限の悪用です。この Android 機能により、アプリケーションの元のインストーラーが「更新所有者」になることができ、指定された所有者のみが更新を開始できます。このメカニズムを利用することで、FireScam は他のソースからの正当な更新をブロックし、感染したデバイス上に存在し続けることができます。
高度な回避および監視機能
FireScam は難読化技術を採用して検出と分析を回避します。着信通知、画面状態の変化、ユーザー アクティビティ、クリップボードの内容、さらにはオンライン トランザクションまでも積極的に監視します。この脅威はリモート サーバーから画像をダウンロードして処理する機能も備えており、監視機能にもう 1 つのレイヤーを追加します。
起動すると、不正な Telegram Premium アプリはユーザーの連絡先、通話履歴、SMS メッセージへのアクセス許可を要求します。次に、WebView を介して公式 Telegram Web サイトをミラーリングしたログイン ページを表示し、ユーザーの認証情報を取得しようとします。ただし、ユーザーがログイン情報を入力しなくても、データ収集プロセスがトリガーされます。
永続的なリモートアクセスの維持
FireScam の最も巧妙な機能の 1 つは、Firebase Cloud Messaging (FCM) 通知に登録する機能です。これにより、脅威はリモート指示を受信し、デバイスへの継続的な秘密アクセスを維持できます。さらに、コマンド アンド コントロール (C2) サーバーとの WebSocket 接続を確立して、データの盗難を容易にし、さらに危険なアクションを実行します。
その他の有害な要素と未解決の疑問
研究者らは、フィッシング ドメインでホストされている「CDEK」と呼ばれる別の有害なアーティファクトも特定しました。この名前はロシアの物流および荷物追跡サービスを指している可能性が高く、FireScam だけにとどまらない、より広範な悪意のある活動があることを示唆しています。
この活動の背後に誰がいるのか、またどのようにしてユーザーがこれらのフィッシング リンクに誘導されるのかは不明です。潜在的な戦術としては、SMS フィッシング (スミッシング) やマルバタイジング キャンペーンが考えられます。これらの詐欺的な Web サイトは、RuStore などの正当なサービスを模倣することで、ユーザーの信頼を操作し、個人に不正なアプリケーションをダウンロードするよう説得します。
FireScam がデータを盗み出し、監視を行う能力は、フィッシングによる配布方法に伴うリスクを強調しています。この事例は、ソーシャル エンジニアリングとよく知られたプラットフォームへの信頼を悪用する脅威から Android ユーザーを保護するという継続的な課題を浮き彫りにしています。