マルウェア「Android.Phantom」の脅威
セキュリティ研究者が、AI駆動型の新しいAndroidマルウェアファミリー「Android.Phantom」を発見しました。このマルウェアは、感染したデバイス上で自動的に広告クリック詐欺を実行するだけでなく、永続的なコマンド&コントロールインフラを確立するために二重の動作モードを採用しています。これにより、サイバーセキュリティの脅威が新たな局面を迎えています。
マルウェアの機能と二重の動作モード
「Android.Phantom」は、「ファントム」と「シグナリング」という2つの異なるモードで動作し、これらはhxxps://dllpgd[.]clickのコマンドサーバーから制御されます。機械学習(ML)モデルはhxxps://app-download[.]cn-wlcb[.]ufileos[.]comからダウンロードされ、仮想画面のスクリーンショットを分析して広告要素を識別し、自動的にクリックします。
「ファントムモード」では、隠されたWebViewブラウザを展開し、ターゲットとなる広告ウェブサイトを読み込み、TensorFlowJS機械学習フレームワークを含む「phantom」というJavaScriptファイルを実行します。一方、より高度な「シグナリングモード」では、WebRTC技術を利用して直接ピアツーピア接続を確立します。これにより、攻撃者は感染デバイスの画面のライブビデオストリームをブロードキャストし、リモートでブラウザを制御して正確なクリック操作を行うことが可能になります。この双方向機能により、侵害されたデバイスは人間または自動化された制御下のインタラクティブなボットと化します。
多段階のマルウェア展開と感染源
攻撃チェーンは戦略的なアップデートを通じて進化しました。当初クリーンだったゲームバージョンは、9月28日から29日にかけて「Android.Phantom.2.origin」が組み込まれ、マルウェア化したと報告されています。続く10月15日から16日のアップデートでは、「Android.Phantom.5」ドロッパーモジュールが導入され、これは「Android.Phantom.4.origin」リモートコードローダーを介して追加のクリッカーバリアントと「Android.Phantom.5.origin」スパイウェアコンポーネントをフェッチします。このモジュール化された設計により、攻撃者はアプリケーション全体を再配布することなくペイロードを動的に更新することができます。
このマルウェアは主に、Xiaomiの公式GetAppsマーケットプレイスにあるSHENZHEN RUIREN NETWORK CO., LTDが公開した以下の6つの感染ゲームを通じて拡散しています。
- Creation Magic World (32,000回以上のダウンロード)
- Cute Pet House (34,000回以上のダウンロード)
- Amazing Unicorn Party (13,000回以上のダウンロード)
- Sakura Dream Academy (4,000回以上のダウンロード)
- Theft Auto Mafia (61,000回以上のダウンロード)
- Open World Gangsters (11,000回以上のダウンロード)
広範囲な配布チャネル
ゲームアプリ以外にも、攻撃者はSpotify Premiumのアンロック、YouTubeの広告なしバージョン、Deezerの強化版、Netflixの回避ツールなど、人気のあるアプリケーションの改造版(mod)にも侵入しています。配布は、Moddroidなどの専用ウェブサイト(Spotify Plus, Spotify Pro, Apkmody)およびTelegramチャンネル(Moddroid.comチャンネルは87,653人の購読者を維持)を通じて行われています。また、「Spotify X」という約24,000人のメンバーを持つDiscordサーバーも、感染した改造版を積極的に宣伝し、管理者が直接ダウンロードを提供していました。
影響を受ける地域とユーザー層
感染データは、ヨーロッパの言語を話す人々に集中的な影響が見られることを示しており、スペイン語、フランス語、ドイツ語、ポーランド語、イタリア語が最も影響を受けた非英語圏の層を占めています。
このマルウェアは多岐にわたるリスクをもたらします。デバイスは意図せずDDoSボットと化し、違法なオンライン活動を助長し、継続的な動作によりバッテリーとデータリソースを消耗させます。さらに、スパイウェアモジュールを介して電話番号、地理位置情報、インストール済みアプリケーションリストなどの個人情報が漏洩する可能性があります。Doctor Webは、特に支払い制限のある地域でプレミアムサービスへの不正アクセスを求めるユーザーは、悪用のリスクが著しく高まると強調しています。また、無料ゲームやエンターテイメントを求める子供たちは、デジタル衛生意識が低いため特に脆弱です。
軽減策と推奨事項
研究者たちは、検証されていないソースからの改造版のダウンロードを避けること、そしてスマートフォン、タブレット、ゲーム機、スマートテレビを保護するために包括的なモバイルセキュリティソリューションを展開することを強く推奨しています。