概要
A newly discovered Android remote access trojan (RAT) called Oblivion RAT is raising concerns across the mobile threat landscape. Marketed as a malware-as-a-service (MaaS) platform, it is sold on cybercrime forums with subscription plans starting at $300 per month.
特徴
Oblivion RATは、ウェブベースのAPKビルダーとドロッパージェネレーターを備え、リアルタイムコマンドアンドコントロール(C2)パネルも提供します。このプラットフォームは、攻撃者が脅威を展開、感染、制御するための完全なツールキットを提供し、サイバー犯罪者にとって使いやすい環境となっています。
マルウェアの配布方法
Oblivion RATは、メッセージアプリやソーシャルエンジニアリングキャンペーンを通じてユーザーに偽のアップデートとして配布されます。このマルウェアはGoogle Play ストアの更新プロセスを模倣し、ユーザーがサイドローディングを許可するように誘導します。
マルウェアの機能
- リアルタイム画面表示とタッチコントロール
- キーロギング
- SMSアクセス、ワンタイムパスワード(OTP)や二段階認証コードの検出
- 被害者の電話番号からメッセージを送信する機能
Android Accessibility Service の悪用
Oblivion RATは、Androidのアクセシビリティサービスを悪用し、ユーザーがデバイスへの完全な制御権限を与えるように誘導します。これにより、マルウェアはSMS、ストレージ、通知、デバイス管理などの重要なアクセス権を得ることができます。
インフラとC2サーバー
Oblivion RATのC2サーバーは自己署名TLSを使用し、IPアドレス89.125.48.159:8888で接続します。このプラットフォームは、サイバー犯罪者が高度なモバイル攻撃を実行するためのツールを提供しています。
対策
ユーザーと組織は、公式ストア以外からアプリをインストールすることに注意を払い、Androidのアクセシビリティ機能に対する悪用手法にも警戒が必要です。また、サイドローディングやソーシャルエンジニアリングが効果的な攻撃ベクトルであることを認識し、適切な対策を講じることが重要です。