大規模なモバイルマルウェア
サイバーセキュリティアナリストは、Massivと呼ばれる高度なAndroidバンキング型トロイの木馬を発見しました。このトロイの木馬は、金銭窃盗を目的としたデバイス乗っ取り(DTO)攻撃を実行するように設計されています。このマルウェアは正規のIPTVアプリケーションを装い、オンラインテレビサービスを探している個人を標的としています。
限定的な集中的なキャンペーンで確認されたものの、脅威レベルは重大です。Massivがインストールされると、攻撃者は侵入したデバイスを遠隔操作し、不正な取引を実行し、被害者のモバイルバンキングアカウントを直接悪用することが可能になります。
このマルウェアは、今年初めにポルトガルとギリシャのユーザーを標的としたキャンペーンで最初に検出されました。しかし、フォレンジック分析により、サンプルの亜種は2025年初頭まで遡り、それ以前にも小規模なテスト活動が行われていたことが示唆されています。
目次
高度な資格情報収集とオーバーレイ操作
Massivは、高度なAndroidバンキングマルウェアによく見られる機能を組み込んでいます。AndroidのMediaProjection APIを介した画面ストリーミング、キーロギング、SMS傍受、正規の銀行・金融アプリに偽装オーバーレイを表示するなど、複数の手法を用いて認証情報の窃取を可能にします。これらのオーバーレイは、ユーザーにログイン認証情報やクレジットカード情報の入力を促します。
注目すべきキャンペーンは、ポルトガル政府の身分証明書の保存とデジタルモバイルキー(Chave Móvel Digital、略してCMD)の管理に使用されているアプリケーションgov.ptを特に標的としていました。この悪意のあるオーバーレイは、公式インターフェースを偽装し、ユーザーの電話番号とPINコードを要求しました。これは、顧客確認(KYC)プロセスを回避しようとするものと考えられます。
調査では、盗難データを利用して被害者名義の新規銀行口座が開設された事例も明らかになりました。これらの不正口座はその後、被害者が気付かないうちにマネーロンダリングや不正融資の申請に利用されました。
リモートコントロール機能とスクリーンキャプチャの回避
Massivは認証情報の窃取に加え、完全なリモートアクセスツールとしても機能します。攻撃者は感染したデバイスを密かに制御することができ、同時に悪意のあるアクティビティを隠蔽するために黒い画面オーバーレイを表示します。これらの手法はAndroidのアクセシビリティサービスを悪用しており、これはCrocodilus、Datzbro、Klopatraといった他のバンキング型トロイの木馬でも確認されています。
一部の金融アプリケーションは、画面キャプチャ保護メカニズムを実装しています。これらの防御を回避するために、Massivは「UIツリーモード」と呼ばれる手法を採用しています。この手法は、AccessibilityWindowInfoルートを走査し、AccessibilityNodeInfoオブジェクトを再帰的に処理することで、デバイスの表示インターフェースの詳細な表現を再構築します。
マルウェアは、表示可能なテキスト、コンテンツの説明、UI要素、画面座標、そして要素がクリック可能、編集可能、フォーカス可能、または有効化されているかどうかを示すインタラクションフラグを含む構造化されたJSONマップを生成します。テキストを含む表示可能なノードのみが攻撃者のコマンドインフラストラクチャに送信され、発行されたコマンドを通じて正確なリモートインタラクションが可能になります。
包括的な悪意のある機能
Massivは、広範なデバイス操作と永続化を可能にする幅広い運用ツールキットを備えています。その機能には以下が含まれます。
- 黒い画面オーバーレイの有効化または無効化、サウンドとバイブレーションのミュート
- デバイス画面のストリーミングとデバイス情報の送信
- クリックとスワイプのジェスチャをリモートで実行する
- クリップボードの内容を変更する
- パターン認証を使用してデバイスのロックを解除する
- 対象アプリケーションまたはロック画面用のオーバーレイを展開する
- オーバーレイ パッケージのダウンロードと追加の APK ファイルのインストール
- バッテリーの最適化、デバイス管理者、Play Protectなどのシステム設定を開く
- SMSとパッケージのインストール権限の要求
- デバイスログデータベースの消去
これらの機能を組み合わせることで、攻撃者は制御を維持し、検出を回避し、金融詐欺を正確に実行できるようになります。
配布戦術:IPTVをテーマにしたドロッパー
Massivは、IPTVサービスを模倣したドロッパーアプリケーションを使用したSMSフィッシングキャンペーンを通じて拡散します。インストール後、ドロッパーは被害者に「重要な」アップデートのインストールを促し、外部ソースからのアプリケーションのインストール許可を求めます。
特定された悪意のあるアーティファクトには次のものがあります:
- IPTV24 (hfgx.mqfy.fejku) – ドロッパーアプリケーション
- Google Play (hobfjp.anrxf.cucm) – 大規模なペイロード
記録されているほとんどのケースでは、正規のIPTVアプリケーションは侵害されていません。ドロッパーはWebViewを通じてIPTV関連のWebコンテンツを表示するだけで、マルウェアがバックグラウンドで実行されている間、機能しているように見せかけていました。
過去 6 か月間、同様のテレビをテーマにしたドロッパー キャンペーンは主にスペイン、ポルトガル、フランス、トルコをターゲットにしてきました。
商業化と継続的な開発の指標
Massiv は、すでに飽和状態にある Android マルウェア エコシステムに参入し、サイバー犯罪者コミュニティ内でのターンキー型の金融詐欺ソリューションに対する根強い需要を強調しています。
マルウェア・アズ・ア・サービスとしての提供はまだ確定していませんが、分析結果からその方向への動きが示唆されています。バックエンド通信用のAPIキーの導入は、操作の標準化とサードパーティによる利用の実現に向けた取り組みを示唆しています。コードレビューでは開発が活発に行われていることが示されており、今後のバージョンアップで追加機能や拡張機能が登場する可能性があることを示唆しています。
