概要
脅威アクターは、GoogleのFirebase App Distributionサービスを利用して、Facebookの資格情報を盗むための偽のAndroid ChatGPTやMeta広告アプリを配布しています。これらの攻撃は、iOS向けのフィッシングキャンペーンに続くもので、Androidユーザーに対して招待メールを通じて展開されています。
攻撃手法
脅威アクターは、Googleのインフラストラクチャが送信したかのような招待メールを配布し、早期アクセスやAI機能付きツールのテストに参加するようユーザーを誘導します。これらのメールには、「Get started」または「Install」といったボタンがあり、クリックするとFirebase App Distributionのページにリダイレクトされます。
被害者の反応
このページはGoogleのインフラストラクチャ上でホストされており、OpenAIやChatGPT、Meta Adsに関連するテストビルドとして表示され、バージョン番号とリリースノートも掲載されています。これらのメッセージには通常、「$200ボーナス」や高度な広告自動化機能などの誘因が含まれています。
悪意のあるアプリの動作
ユーザーがAPKをインストールすると、アプリはFacebookログイン画面を表示し、ユーザーが資格情報を入力させます。これらの情報は攻撃者のサーバーに送信され、個人プロファイルやビジネスページ、広告アカウントの制御を奪う可能性があります。
対策
- Androidユーザーは、Googleサービスからの招待メールであっても、ChatGPTやMeta AdsなどのAIツールのテストに参加するよう誘導される場合は注意深く確認してください。
- APKをインストールする際には、公式のGoogle Play ストアから入手することをお勧めします。
- 組織は、マルチファクタ認証を強制し、異常な広告支出やログイン位置を監視し、スタッフに教育してFacebookやOpenAIがランダムなFirebaseやTestFlightからの招待メールを通じて有料の広告ツールを配布しないことを理解させましょう。
- セキュリティチームは、メールゲートウェイとモバイルデバイス管理ポリシーを調整し、非公式なキャンペーンからFirebase配布リンクをフラグ立てします。