SMS スティーラー モバイル マルウェア
Androidデバイスを狙った世界的なサイバー攻撃では、何千ものTelegramボットがSMSを盗むマルウェアを拡散し、600以上のサービスのワンタイム2FAパスワード(OTP)を盗み出している。研究者らは2022年2月からこの活動を監視しており、この攻撃に関連するマルウェアサンプルを少なくとも107,000件特定している。攻撃者は金銭的な動機で攻撃しているようで、侵害したデバイスを使って認証を容易にし、匿名性を高めている可能性が高い。
目次
数千のテレグラムボットがSMS窃盗マルウェアを拡散
SMS を盗むマルウェアは、マルバタイジングと、被害者との通信を自動化する Telegram ボットという 2 つの主な方法で拡散されます。
最初の方法では、被害者は偽の Google Play ページに誘導され、正当なページであるように見せかけて被害者の信頼を得るために、ダウンロード数を誇張した数字が表示されます。
Telegram では、ボットは海賊版の Android アプリケーションを提供し、APK ファイルを提供する前に被害者の電話番号を要求します。この番号はボットによってカスタマイズされた APK を作成するために使用され、個人追跡や将来の攻撃が可能になります。
この攻撃では、約 2,600 個の Telegram ボットを利用してさまざまな Android APK を配布しており、これらはすべて 13 個のコマンド アンド コントロール (C2) サーバーによって管理されています。影響を受ける人の大半はインドとロシアにいますが、ブラジル、メキシコ、米国でもかなりの数の人が被害に遭っていると報告されています。
脅威アクターが被害者から資金を集める方法
マルウェアは、傍受した SMS メッセージを Web サイト「fastsms.su」の API エンドポイントに送信します。このサイトでは、さまざまな国の「仮想」電話番号を提供しており、ユーザーはこれを購入して匿名性を保ち、オンライン プラットフォームで認証することができます。侵害されたデバイスは、被害者の知らないうちにこのサービスによって使用されている可能性が高いです。マルウェアは、Android デバイスで付与された SMS アクセス権限を利用して、アカウント登録や 2 要素認証に必要な OTP を取得します。
被害者にとっては、モバイル アカウントに不正な請求が行われたり、デバイスや電話番号にまで遡って違法行為に巻き込まれる可能性があります。電話番号の不正使用を防ぐには、Google Play 以外のソースから APK ファイルをダウンロードしないようにし、関係のない機能を持つアプリに不要な権限を付与しないようにし、デバイスで Play プロテクトが有効になっていることを確認してください。
SMS窃盗攻撃の攻撃フロー
被害者は、正規のアプリ ストアを模倣した誤解を招く広告や、ターゲットと直接やり取りする自動化された Telegram ボットを通じて、不正なアプリケーションをインストールするように誘導されます (詳細は下記)。
許可リクエスト – アクセスの取得
インストールされると、この不正なアプリケーションは SMS 読み取り権限を要求します。これは Android の高リスク機能であり、機密性の高い個人データへのアクセスを許可します。正規のアプリは特定の機能のために SMS 権限を必要とする場合がありますが、このアプリの要求は被害者のプライベートなテキスト メッセージを送信するように設計されています。
コマンド&コントロールサーバーの取得 – マスターへの連絡
その後、この脅威はコマンド アンド コントロール (C&C) サーバーに接続し、そこで操作を指示して収集したデータを収集します。当初、このマルウェアは Firebase を使用して C&C サーバーのアドレスを取得していましたが、その後、Github リポジトリを使用したり、アプリ内にアドレスを直接埋め込んだりするように進化しました。
C&C通信 – 報告とデータのアップロード
C&C サーバーのアドレスを確保した後、感染したデバイスはそれに接続します。これには 2 つの目的があります。1) マルウェアがサーバーに自身のアクティブ状態を通知すること、2) 貴重な OTP コードを含む盗まれた SMS メッセージを送信するためのチャネルを作成することです。
OTP 収集 – 秘密の収集者
最終段階では、マルウェアは受信 SMS メッセージを密かに監視し、検出されずにオンライン アカウントの検証に使用される OTP を傍受することに重点を置きます。
