「システムアップデート」Androidマルウェア

Androidユーザーは、「システムアップデート」アプリケーションを装った新しい洗練されたAndroidマルウェアの脅威にさらされています。この脅威は最近、情報セキュリティの研究者によって発見されました。彼らの調査結果によると、「システムアップデート」マルウェアは、まれにしか見られない機能、着信通信と発信通信用に異なるサーバーを備えた確立されたコマンドアンドコントロール（C2、C＆C）インフラストラクチャ、および検出回避技術。

ユーザーのデバイスに侵入できる場合、「システムアップデート」マルウェアはRAT（リモートアクセストロイの木馬）として効果的に機能し、データの収集と侵入、インバウンドコマンドの実行、感染したデバイスの特定の機能の制御を行うことができます。脅威は公式のGooglePlayストアを突破することはできず、代わりにサードパーティのアプリケーションプラットフォームを介して拡散していることに注意する必要があります。

洗練された機能の幅広いセット

「システムアップデート」マルウェアは、攻撃者が侵害されたAndroidデバイス上でさまざまな不正なアクションを実行できるようにする多数の脅威機能を示します。脅威が確立されると、Firebase C＆Cサーバーとの通信が開始されます。最初の交換中に、WhatsAppがシステムに存在するかどうか、バッテリーの充電、ストレージ統計、インターネット接続の種類など、感染したデバイスに関するさまざまなデータが送信されます。 Firebaseメッセージングサービスから受信したトークンと一緒に情報を使用して、デバイスをC＆Cに登録します。マルウェアの脅威は、Firebase C＆Cを使用して着信コマンドを受信するだけで、すべての盗み出されたデータはPOSTリクエストを介して別のC＆Cサーバーに配信されます。

脅威が受信した特定のコマンドは、さまざまな機能をトリガーします。 「システムアップデート」マルウェアは、マイクにアクセスして音声の録音を開始したり、通話の会話を録音したりできます。収集されたデータは、C＆Cサーバーにアップロードされる前にZIPアーカイブファイルとして保存されます。この脅威は、ユーザー補助サービスを繰り返し有効にする要求でユーザーを悩ませ、成功した場合、WhatsAppの画面から会話とメッセージの詳細を取得しようとします。

スパイウェアは、クリップボードデータの収集、SMS、連絡先、通話記録、通知、GPS位置などの特定の脅迫行為をトリガーする多数のリスナー、監視、およびブロードキャストインテントを確立します。侵害されたデバイスに保存されているファイルはスキャンされ、サイズが30MB未満で、.pdf、.docx、.doc、.xlsx、.xls、.pptx、.pptの拡張子がコピーされ、C＆Cサーバーに盗み出されるなどの価値があると見なされます。ブックマークや検索履歴などのプライベートユーザーデータも、Samsung Internet Browser、Google Chrome、MozillaFirefoxなどの一般的なWebブラウザから取得されます。

スパイウェアは、収集するデータが可能な限り最新のものであることを非常に意識しています。 GPSまたはネットワークから位置データをスナップし、5分ごとに更新します。同じ手法がデバイスのカメラで撮影された写真にも使用されますが、間隔は40分に延長されます。

複数のテクニックが異常な活動を隠す

広範なRATおよびスパイウェア機能に加えて、「システムアップデート」マルウェアには、詮索好きな目から隠しておくように設計された多数の技術も装備されています。より基本的なものには、脅威のアプリケーションのアイコンが感染したデバイスのドロワータブまたはメニューに正しく表示されないようにブロックすることが含まれます。収集された情報を含むファイルは、データが盗み出されているリモートサーバーから正常な応答を受信するとすぐに削除されます。ビデオの多数の画像を含む外部ストレージに保存されているファイルを収集する場合、スパイウェアは代わりに適切なサムネイルの収集に重点を置きます。この方法では、特に大規模な異常な帯域幅トレイルを作成する代替手段と比較した場合、脅威となるアクティビティを比較的気付かれないままにすることができます。

侵害されたデバイスの画面がオフになっているときに「システムアップデート」マルウェアがFirebaseC＆Cサーバーからコマンドを受信すると、偽の通知が生成され、ユーザーを誤解させます。通知は、誤った「Searching for update ..」メッセージを表示することにより、デバイスのオペレーティングシステムによって生成されたように見せかけます。