SmsSpyマルウェア

RoamingMantisハッカーグループによって実行されたスミッシングキャンペーンはまだ進化しています。この操作の主な標的はアジア諸国のユーザーでしたが、現在、ハッカーは日本のユーザーに特に感染するように設計されたSmsSpyという名前の新しいマルウェアを配備しています。マルウェア株の主な目的は、侵害されたAndroidデバイスから電話番号とSMSメッセージを収集することです。この脅威は、ユーザーのAndroid OSバージョンに応じて、2つの異なるバージョンを展開する可能性があり、潜在的な被害者の大幅な増加につながります。

初期妥協ベクトル

攻撃は、ユーザーを破損したWebページに誘導するフィッシングSMSメッセージから始まります。偽のメッセージの正確なテキストは、サイバー犯罪者がユーザーからのサービスの確認を必要とするロジスティクス会社のふりをする可能性があるため、異なる場合があります。別のシナリオでは、ユーザーはビットコインアカウントの問題について警告を受けていると思われ、提供されたリンクをたどってログイン情報を確認するように指示されます。

次に、フィッシングページは、ユーザーのデバイスのAndroidバージョンをチェックして、攻撃の次の手順を決定します。 Android OS 10以降を実行しているデバイスでは、マルウェアの脅威は偽のGooglePlayアプリケーションとして展開されます。 Android 9以前を使用しているデバイスの場合、代わりに偽のChromeアプリケーションがダウンロードされます。

SmsSpyの脅威的な機能

インストールされると、有害なアプリケーションは、被害者の連絡先とSMSメッセージにアクセスするために、デバイスのデフォルトのメッセージングアプリケーションとして設定するように要求します。ユーザーに表示される通知画面は、ダウンロードされたアプリケーションのバージョンと一致します。 Google Playの亜種は、ウイルス、スパイウェア、フィッシング対策、スパムメールの保護を提供すると思われるセキュリティサービスを装っています。偽のChromeアプリケーションについては、権限のリクエストを受け入れないと、アプリケーションが起動できなくなったり、機能が制限されたりする可能性があることをユーザーに警告しています。

その後、SmsSpyはアイコンを非表示にし、WebSocket通信を介してコマンドアンドコントロールサーバーとの通信を確立しようとします。デフォルトのアドレスはマルウェアのコードに埋め込まれていますが、C2サーバーの場所を更新する必要があるときにアクティブになるリンク情報も含まれています。 C2サーバーは通常、ブログサービスのユーザープロファイルページに隠されていますが、同じ目的で中国のオンラインドキュメントサービスを使用しているサンプルもいくつかあります。

最初のハンドシェイク中に、SmsSpyマルウェアは、Android OSのバージョン、電話番号、デバイスモデル、一意のデバイスID、インターネット接続タイプなど、感染したデバイスに関するシステムの詳細を送信します。その後、脅威はリッスンモードに入り、着信コマンドを待機している間休止状態になります。攻撃者は、コンタクトブック全体とSMSメッセージを盗み出し、SMSメッセージを送信および削除することができます。