新型Androidマルウェア「Fantasy Hub」の脅威
ロシアを拠点とする脅威アクターが、TelegramベースのMalware-as-a-Service(MaaS)チャネルを通じて、高度なAndroidリモートアクセス型トロイの木馬「Fantasy Hub」を積極的に配布しており、モバイルを標的としたサイバー犯罪が著しくエスカレートしています。Fantasy Hubは、高度な回避技術、ソーシャルエンジニアリング戦術、および深いシステムレベルのアクセスが危険な形で融合したものです。ZimperiumのzLabsのセキュリティ研究者たちは、このスパイウェアの広範な機能を文書化しており、これは有料サブスクリプションモデルで運用され、初心者の攻撃者がAndroidデバイスを大規模に侵害するための参入障壁を低くするように設計されています。
驚くべき機能と金融機関への標的
このマルウェアは、SMSメッセージ、連絡先、通話履歴、画像、動画を外部に流出させることができ、さらに受信通知を傍受、変更、削除する能力も持っています。このツールキットを利用する脅威アクターは、Alfa-Bank、PSB、Tbank、Sberなどの金融機関を特に標的としており、正規のバンキングアプリケーションになりすますカスタムフィッシングウィンドウを展開して認証情報を収集しています。
「Malware-as-a-Service」モデルの台頭
Fantasy Hubの運用構造は、Malware-as-a-Serviceプラットフォームがいかに高度なサイバー犯罪を民主化しているかを示しています。購入者は、なりすましたいアイコン、名前、ページを選択して、特定のページを受け取ることができます。開発者は、包括的なドキュメント、チュートリアルビデオ、および専用のTelegramボットを介した自動サブスクリプション管理とともにマルウェアを宣伝しています。潜在的な購入者は、マルウェアビルダーへのアクセスを許可するサブスクリプションティアを選択でき、脅威アクターは特定の被害者を標的としたインスタンスをカスタマイズして展開できます。販売者は、偽のGoogle Playストアページを作成し、Androidのセキュリティ制限を回避するための詳細な手順まで提供しており、信頼性を高めるために偽のレビューも完備しています。このサブスクリプションアプローチは、さまざまな技術レベルの購入者を引き付けるのに非常に効果的であることが証明されています。Telegramボットは、直感的なインターフェースを通じてサブスクリプション期間、デバイス割り当て、およびコマンド&コントロールアクセスを管理します。脅威アクターは、選択したAPKファイルをビルダーにアップロードし、ビルダーは展開前にFantasy Hubドロッパーを自動的に注入します。
高度な悪用技術
Fantasy Hubの技術アーキテクチャは、検出メカニズムとセキュリティ分析を回避するために設計された複数の高度な回避戦略を組み込んでいます。このマルウェアは、実行時に暗号化されたアセットにアクセスするネイティブドロッパーをmetamask_loaderライブラリ内に埋め込んでいます。実行中、固定された36バイトのキーパターンを使用するカスタムXORベースの復号ルーチンが、metadata.datというファイルに保存されているペイロードを復号し、その後gzip圧縮を使用して解凍します。このアプローチにより、実際のペイロードが被害者のデバイスで実行時まで暗号化されたままになるため、静的インジケーターが大幅に削減されます。コマンド&コントロールパネルには、残りのサブスクリプション時間、オンライン/オフラインのデバイスステータス、およびデバイス固有の情報など、さまざまな詳細が表示されます。危険な悪用技術には、デフォルトのSMSハンドラーの役割を悪用することが含まれます。個別のユーザー承認を必要とする個々のランタイム権限とは異なり、SMSハンドラーの役割になることで、単一の承認ステップを通じてSMSコンテンツ、連絡先、カメラ機能、およびファイルアクセスへの統一されたアクセスが許可されます。
リアルタイム監視と金融標的
Fantasy Hubは、WebRTCテクノロジーを活用して、個別の権限を必要とせずに、リアルタイムのオーディオおよびビデオストリーミングをコマンド&コントロールサーバーに直接可能にします。ドロッパーは、ユーザーの疑いを減らすためにGoogle Playシステムアップデートになりすまし、最近のサンプルには、動的分析やサンドボックス環境を回避するように設計されたルート検出およびインストール環境チェックが含まれています。このマルウェアは、デバイスがスリープモードに入るのを防ぐために目立たない「ライブストリームアクティブ」インジケーターを表示し、ストリーミングが終了するとカメラとマイクのアクセスをサイレントに無効にします。被害者がこれらのフィッシングインターフェースを通じて認証情報を入力すると、盗まれた情報は直ちに攻撃者制御サーバーに流出します。侵害されたデバイスを管理する脅威アクターは、ロシア語のコマンド&コントロールパネルにアクセスし、デバイスのステータス、残りのサブスクリプション時間、およびブランド、モデル、SIMスロット割り当て、最終アクティビティタイムスタンプを含む包括的なデバイス情報を表示します。金融標的機能は、企業組織および個人消費者にとって最も差し迫った脅威となる可能性があります。脅威アクターは、正規のバンキングアプリケーションになりすました事前構築済みのフィッシングウィンドウを展開し、販売者はPIN番号、パスワード、カード詳細の完全にカスタマイズ可能なフィールドを持つカスタムウィンドウを作成する方法を示すチュートリアルビデオを提供しています。
対策の必要性
Fantasy Hubの出現は、特に個人と企業のモバイル利用が交差するBYOD(Bring Your Own Device)環境において、包括的なモバイル脅威防御戦略の極めて重要な必要性を浮き彫りにしています。