新たなSecuriDropperマルウェアがAndroid 13の制限を回避し、正規アプリを装う

新たなSecuriDropperマルウェアがAndroid 13の制限を回避し、正規アプリを装う

詐欺対策企業ThreatFabricの最新レポートで、Android 13の制限設定を回避できるマルウェア「SecuriDropper」が明らかになりました。このマルウェアは、AndroidにインストールがGoogle Playストアからであると認識させますが、実際にはそうではありません。

組織では、モバイル デバイス管理ソリューションと方法を使用して、従業員の Android デバイスをより細かく制御し、承認済みアプリケーションのリストを使用してデバイスへのアプリのインストールを制限し、その他のアプリケーションを禁止することを強くお勧めします。

ジャンプ先:

  • Android 13 の制限設定とは何ですか?
  • SecuriDropperマルウェアとは
  • より多くのマルウェアがこの技術を利用するだろう

Android 13 の制限設定とは何ですか?

Android 13では、「制限設定」と呼ばれる新しいセキュリティ機能が導入されました。この新機能は、サイドロードされたアプリケーション(Google Playストア以外からダウンロードされたアプリケーション)が、ユーザー補助設定と通知リスナーへのアクセスを直接要求するのを防ぎます。ThreatFabricの研究者によると、これらの機能はマルウェアによって悪用されることが多いとのことです。

Androidシステムでは、正規のGoogle Playストアからダウンロードされたアプリケーションは、正規のGoogle Playストア以外からダウンロードされたアプリケーションと同じプロセスの対象にはなりません。主な理由は、Google Playストアに正常に公開されたアプリケーションは、より多くの情報と可視性を提供し、マルウェア機能が含まれていないことを保証するための様々なセキュリティテストに合格しているためです。したがって、Google Playストアのアプリケーションは、制限設定機能の影響を受けません。

Play Google ストアからダウンロードしたアプリケーションでは、サイドロードされたアプリケーションでは通常使用されない特定のインストール方法(「セッションベース」のパッケージ インストーラ)が使用されます。

SecuriDropperマルウェアとは

SecuriDropperマルウェアは、正規のGoogle Playストアから入手した正規ソフトウェアと同じインストール方法を使用します。何も知らないユーザーによって実行されると、マルウェアは「外部ストレージの読み取りと書き込み」と「パッケージのインストールと削除」という2つの重要な権限を要求します。

権限が付与されると、マルウェアはデバイス上に既に存在するかどうかを確認します。存在する場合はマルウェアが実行され、存在しない場合は、問題が発生したため再インストールボタンをクリックする必要があるというメッセージを表示します。メッセージは、デバイスの場所と設定されている言語によって異なります。

完了すると、セッションベースのインストールが開始され、制限された設定機能がバイパスされるため、アクセシビリティ サービスを有効にする許可がユーザーに求められます (図 A )。

図A

ユーザから見た感染スキーム。
ユーザーが目にする感染スキーム。画像: ThreatFabric

このマルウェアは、Google アプリや Android アップデート (27%)、ビデオ プレーヤー (25%)、セキュリティ アプリケーション (15%)、ゲーム (12%) などのさまざまな Android アプリケーションに偽装していることが確認されています。続いて、電子メール クライアント、アダルト コンテンツ、音楽プレーヤー、その他のアプリに偽装しています (図 B )。

図B

SecuriDropper は、さまざまなアプリケーションを装って活動しています。
SecuriDropperは、様々なアプリケーションに偽装して流通しています。画像:ThreatFabric

SecuriDropperのさまざまな最終ペイロード

SecuriDropper はあらゆる種類の悪意のあるコードをドロップしてインストールする可能性があります。このマルウェアの最終目的は、感染したデバイスに別のマルウェアをインストールすることです。ThreatFabric は、SecuriDropper を使用した 2 つのキャンペーンを観察しました。

1つ目は、リモート管理ツール機能を備えたマルウェア「SpyNote」を拡散する攻撃キャンペーンです。この悪意のあるペイロードはフィッシングサイトを通じて拡散され、SecuriDropperによって展開されました。デバイス上の機密情報を取得し、SMSや通話履歴を盗み、スクリーンショットを撮影する機能を持つSpyNoteマルウェアは、Androidの制限された設定ではアクセスできない権限を必ず必要とします。SecuriDropperを介してインストールされることで、SpyNoteマルウェアはコードを変更することなく、Android 13でもデバイスへの感染を継続できます。

別の攻撃キャンペーンでは、SecuriDropperがERMACバンキング型トロイの木馬をインストールするのが確認されました。このマルウェアは、以前は主にゲーマーが使用していたコミュニケーションツールであるDiscordを介して拡散されましたが、企業を含む他のコミュニティでも利用が拡大しています。

より多くのマルウェアがこの技術を利用するだろう

今後、様々なマルウェアファミリーがこの手法を利用するようになるでしょう。既にこの手法を使用しているサービスの一つがZombinderです。

ThreatFabricの報道によると、ダークネットプラットフォーム「Zombinder」は、Android 13の制限設定を回避する新バージョンの宣伝を開始しました。Zombinderサービスにより、攻撃者は正規のアプリケーションをマルウェアに紐付けることができます。感染が完了すると、正規のアプリケーションは通常通り動作しますが、マルウェアはバックグラウンドで誰にも気づかれずに実行されます。

Zombinderは、Android 13の制限を回避する機能を備えたビルダーも販売しています。Zombinderのビルダーは、感染したシステムにマルウェアをドロップするソフトウェア(ドロッパー)で、1,000ドルで販売されています。

ThreatFabricの記事によると、「Zombinderのようなサービスの出現は、Android 13の防御を回避するためのビルダーやツールを提供するサイバー犯罪市場の活況を示唆している。これは、セキュリティ上の脆弱性を悪用して利益を得ようとする者たちの機転の利く様子を物語っている。」

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged: