サイバーニュース.jp

世界のサイバーなニュースを配信

GhostBat RAT、偽RTOアプリを装いインドの銀行データを窃取

カテゴリ:

, , , , , , , , ,

概要:GhostBat RATの脅威

「GhostBat RAT」と呼ばれるAndroidマルウェアが、インドのユーザーを標的とし、偽のRTO(地域運輸局)アプリを装って銀行データを窃取していることが明らかになりました。このマルウェアは、WhatsApp、SMSの短縮URL、GitHubでホストされたAPK、および侵害されたウェブサイトなど、多様な感染経路を利用して拡散しています。

一度インストールされると、GhostBat RATは多段階のワークフロー、意図的なZIPヘッダー操作、および高度な文字列難読化を駆使して、アンチウイルス検出やリバースエンジニアリングを回避します。攻撃者はネイティブライブラリ(.so)を利用してAPI呼び出しを動的に解決し、銀行認証情報窃取ツールや仮想通貨マイナーを含むペイロードを展開します。

攻撃の手口とユーザーへの影響

被害者は、mParivahanアプリを模倣したフィッシングページに誘導され、携帯電話番号、車両詳細、およびUPI(統一決済インターフェース)決済情報の入力を求められます。銀行関連のキーワードを含むすべてのSMSメッセージはC&C(コマンド&コントロール)サーバーに送信され、受信メッセージはOTP(ワンタイムパスワード)の収集のために転送またはアップロードされる可能性があります。デバイスの登録はTelegramボット「GhostBatRat_bot」を通じて行われ、これが「GhostBat RAT」という名称の由来となっています。

2024年7月にCRILがAndroidマルウェアによる連絡先やSMSメッセージの窃取を初めて文書化して以来、2025年9月以降の新たな観測では、WhatsAppの画像共有や短縮URLを含むSMSメッセージを通じて40以上の異なるサンプルが拡散していることが判明しています。これらの亜種はカスタムパッカーやアンチエミュレーションルーチンが異なるものの、最終的には悪意のあるmParivahanアプリを配信します。

技術的分析:高度な回避技術

GhostBat RATのアーキテクチャは、多段階のドロッパーワークフロー、ネイティブバイナリパッキング、意図的なZIPヘッダー破損、ランタイムアンチエミュレーションチェック、および重度の文字列難読化によって特徴付けられます。ほとんどのサンプルは、デバイスのアーキテクチャとメーカーを検証する最初のドロッパーから始まり、エミュレートされた環境を阻止するためにx86またはx86_64環境では終了します。コード全体にわたる文字列は、長い数値シーケンスに難読化されており、リバースエンジニアリングをさらに困難にしています。

環境チェックが通過すると、ドロッパーはXORを介してアセットファイルを復号し、DexClassLoaderでロードして第2段階のペイロードを実行します。このペイロードは、ファイル名のSHA-1ハッシュから派生したAESキーを使用して別のアセットを復号し、そのコンテンツを第3段階のモジュールを格納するclasses.zipコンテナにロードします。

最終段階では、仮想通貨マイナーライブラリをダウンロードして実行した後、銀行データ窃取を目的とした主要な悪意のあるAPKをインストールします。いくつかの亜種にはネイティブパッカーが組み込まれており、.soライブラリがJNI関数(FindClassなど)を使用して追加のネイティブバイナリを復号およびロードし、ランタイムでAPI呼び出し名を動的に構築します。このネイティブローダーも同じ3段階のパラダイムに従い、最終的に認証情報窃取ツールと仮想通貨マイナーの両方を展開します。

感染からデータ窃取までの流れ

  • インストール:mParivahanアプリのインストール時に、偽のGoogle Playアップデートページが表示されます。不明なソースからのインストールを許可すると、悪意のあるAPKのダウンロードとインストールがトリガーされます。
  • 権限要求:アプリはSMS関連の権限を要求します。
  • フィッシング:説得力のあるmParivahanフィッシングインターフェースが表示され、携帯電話番号と車両詳細の入力を求められます。
  • 偽の決済:次に、偽の決済フローがユーザーに検証のために1ルピーを支払うよう促し、偽のインターフェースにUPI PINを入力させます。このPINはFirebaseエンドポイントに転送されます。
  • データ流出:銀行関連のキーワードを含むすべてのSMSメッセージはフィルタリングされ、C&Cサーバーに送信されます。受信メッセージは、OTP傍受のために攻撃者が管理する番号にアップロードまたは転送される可能性があります。

この二重の機能により、攻撃者は静的な銀行認証情報と動的なOTPの両方を収集し、不正な取引を容易にします。

結論と対策

GhostBat RATキャンペーンは、RTOをテーマにしたAndroidマルウェアの高度な進化を示しています。多段階のドロッパー技術、分析回避防御、ネイティブコードの悪用、およびソーシャルエンジニアリングを組み合わせることで、攻撃者は従来の検出メカニズムを効果的に回避しています。銀行認証情報とUPI認証フローの両方を標的とすることで、GhostBat RATは、SMS権限の厳重な管理短縮URLの慎重な取り扱い、および新たなAndroidマルウェアキャンペーンを阻止するための継続的なモバイル脅威インテリジェンスの必要性を浮き彫りにしています。

元記事: https://gbhackers.com/ghostbat-rat-android/

投稿をさらに読み込む