複数ライセンス割引見積
脅威データベース モバイルマルウェア ネクロトロイの木馬

ネクロトロイの木馬

モバイルマルウェア, トロイの木馬Mezoまで
翻訳内容:
日本語

2019 年、サイバーセキュリティ研究者は厄介な問題を発見しました。Google Play ストアの正規の Android アプリケーションが、開発者が広告収入を得るために使用するサードパーティ ライブラリによって侵害されていたのです。この変更により、1 億台のデバイスが攻撃者が管理するサーバーに接続され、隠されたペイロードが展開されました。

同様の状況が再び浮上しました。情報セキュリティの専門家は、Google Play から 1,100 万回ダウンロードされた 2 つの新しいアプリケーションが同じマルウェア ファミリーに感染していることを確認しました。広告機能を統合するために使用された安全でないソフトウェア開発キットが再び原因であるようです。

SDK とは何ですか?

ソフトウェア開発キット (SDK) は、開発者に、定型的なタスクを処理することでアプリケーション作成プロセスを簡素化および加速する、事前に構築されたフレームワークを提供します。このケースでは、広告表示をサポートするように設計されたように見える未検証の SDK モジュールがアプリケーションに統合されていました。しかし、その裏では、侵害されたサーバーと密かに通信するための高度な方法が有効になっていました。これにより、アプリケーションはユーザー データをアップロードし、いつでも実行または更新できる有害なコードをダウンロードできました。

Necro Trojans はどのようにしてデバイスに感染するのか?

両方のキャンペーンの背後にあるマルウェア ファミリーは Necro と呼ばれ、この例では、一部の亜種がステガノグラフィーなどの高度な技術を採用しています。これは、モバイル脅威では珍しい難読化手法です。一部の亜種は、高度な手法を使用して、昇格したシステム権限で動作できる不正なコードを配信します。デバイスが感染すると、攻撃者が制御するコマンド アンド コントロール サーバーと通信します。このサーバーは、侵害されたデバイスと不正なモジュールをホストしているアプリケーションに関する詳細を報告する暗号化された JSON データを送信します。

その後、サーバーは、PNG 画像へのリンクと画像のハッシュを含むメタデータを含む JSON メッセージで応答します。感染したデバイス上のモジュールがハッシュを検証すると、画像のダウンロードに進みます。

研究者らは、SDK モジュールはシンプルなステガノグラフィ アルゴリズムを使用していると説明しています。MD5 チェックに合格すると、標準の Android ツールを使用して PNG ファイルの内容、具体的には ARGB チャネルのピクセル値を抽出します。getPixel メソッドは、最下位バイトに画像の青チャネルが含まれる値を取得し、マルウェアはそこから処理を開始します。

ネクロトロイの木馬は深刻な結果をもたらす可能性がある

マルウェアによってインストールされた後続のペイロードは、感染したデバイスごとにカスタマイズしてさまざまなアクションを実行できる不正なプラグインをダウンロードします。このようなプラグインの 1 つは、昇格されたシステム権限でコードを実行できるようにします。通常、Android は特権プロセスによる WebView (アプリケーション内で Web ページを表示するためのコンポーネント) の使用を制限します。この制限を克服するために、Necro はリフレクション攻撃と呼ばれる手法を使用して、WebView ファクトリの別の発生を作成します。

さらに、このプラグインは、WebView を通じて表示されるリンクを変更する他のファイルをダウンロードして実行できます。システム権限が昇格されると、これらの実行ファイルは URL を変更して有料サブスクリプションの確認コードを挿入したり、攻撃者が制御するリンクからコードをダウンロードして実行したりできます。研究者は、Necro の分析中に 5 つの異なるペイロードを特定しました。さらに、Necro のモジュール構造により、マルウェアはさまざまな方法で動作します。

ネクロトロイの木馬は2つのアプリケーションで発見されました

研究者は、Google Play の 2 つのアプリケーションで Necro を特定しました。そのうちの 1 つである Wuta Camera は、1,000 万回ダウンロードされています。Wuta Camera のバージョン 6.3.2.148 から 6.3.6.148 には、感染の原因となる悪質な SDK が含まれていましたが、その後、アプリケーションは更新され、有害なコンポーネントが削除されました。もう 1 つのアプリケーションである Max Browser も感染していましたが、ダウンロード数は約 100 万回でした。ただし、このアプリケーションは Google Play では入手できなくなりました。

さらに、研究者らは、代替マーケットプレイスで提供されているさまざまな Android アプリケーションが Necro に感染していることを発見しました。これらのアプリケーションは通常、Spotify、Minecraft、WhatsApp、Stumble Guys、Car Parking Multiplayer、Melon Sandbox などの正規アプリケーションの修正版として提供されています。

トレンド

Hlas ランサムウェア

ランサムウェア
マルウェアの脅威はかつてないほど大きくなっており、ランサムウェアは最も被害の大きいサイバー リスクの 1 つとして浮上しています。ランサムウェア攻撃の壊滅的な影響は、大量のデータ損失、経済的破滅、業務の中断につながる可能性があります。ランサムウェアの亜種がますます巧妙化しているため、ユーザーと組織はともにこれらの脅威に先手を打って、強力なセキュリティ対策を実装することが不可欠です。 ユーザー...

Penadee.com

不正なウェブサイト, アドウェア
オンライン戦術がますます巧妙になるにつれ、ユーザーは Web を閲覧する際に警戒を怠ってはなりません。Penadee.com などの Web サイトは、悪意のある人物が正当なブラウザ機能を悪用して訪問者を騙し、重大な損害を与えることがいかに容易であるかを示しています。これらの不正なサイトは、信頼できるプラットフォームを装い、おなじみのプロンプトや通知を使用して、疑いを持たないユーザーを危険な...

Poolkarella.net

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
Poolkarella.net は、訪問者を利用しようとする不正な Web サイトとして分類されています。このタイプのページは、ユーザーが意図的に開くことはめったになく、主に疑わしいコンテンツや広告を宣伝する他のドメインからアクセスされます。通常、不正な Web サイトは、クリックベイト メッセージと偽のシナリオに依存して、訪問者を無意識のうちにプッシュ通知サービスを有効にするように仕向けま...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
83,679
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Msedge.exeとは何ですか?

問題
65,850
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...

「プリンタドライバが利用できません」エラーを修正する方法

問題
64,305
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...