概要:Telegramを装う新たな脅威
セキュリティ研究機関Doctor Webは、Telegram Xを装った高度なAndroidバックドア「Android.Backdoor.Baohuo.1.origin」を発見しました。このマルウェアは、被害者のアカウントとデバイスを完全に制御する能力を持ち、すでに世界中で58,000台以上のデバイスに感染し、現在も約20,000台がアクティブな感染状態にあると報告されています。
この脅威は、モバイルマルウェアの能力を著しくエスカレートさせるものであり、Androidの脅威では前例のないRedisデータベース統合による制御メカニズムを導入しています。
感染経路と標的
マルウェアは主に、出会い系やビデオチャット機能の偽広告でユーザーを誘い込む、アプリカタログを装った悪意のあるウェブサイトを通じて拡散しています。また、APKPure、ApkSum、AndroidPなどのサードパーティ製アプリストアでも、正規のTelegram開発者の身元を詐称して不正に配布されていることが確認されています。
初期の分析では、攻撃者は特にブラジルとインドネシア市場を標的としており、悪意のあるテンプレートはポルトガル語とインドネシア語のみで提供されていました。しかし、研究者は将来的に他の国々にも標的を拡大する可能性があると警告しています。
感染したデバイスは多岐にわたり、スマートフォン、タブレット、TVボックス、さらにはAndroidベースの車載コンピューターを搭載した自動車など、約3,000種類の異なるモデルが確認されています。
マルウェアの驚異的な機能
「Android.Backdoor.Baohuo.1.origin」は、従来のAndroidマルウェアとは一線を画す、異常なレベルのアカウント操作能力を持っています。認証情報、チャット履歴、個人データの窃取に加え、以下のことが可能です。
- 不正なデバイス接続の隠蔽:被害者のアクティブセッションリストから、不正なデバイス接続の証拠を巧妙に隠蔽します。
- Telegramアカウントの操作:被害者に代わってTelegramチャンネルへのユーザーの追加・削除、チャットへの参加を自律的に行い、これらの行動を完全に隠蔽します。
- 機能の維持:マルウェアが組み込まれたメッセンジャーは完全に機能するため、ユーザーは不審に思わず、攻撃者はメッセージング機能を完全に制御できます。
革新的なコマンド&コントロール(C2)アーキテクチャ
このマルウェアのコマンド&コントロールアーキテクチャは、Androidの脅威ランドスケープにおいて画期的な技術を導入しています。以前の亜種が従来のC2サーバーに依存していたのに対し、現在のバージョンはRedisデータベースインフラストラクチャをコマンド配信に利用しています。これはモバイルマルウェアでは前例のないアプローチです。
このデュアルチャネルシステムは運用上の冗長性を提供し、Redis接続が失敗した場合でも、マルウェアは自動的に標準のC2サーバー通信に切り替わります。
機密データの継続的な窃取
バックドアは、SMSメッセージ、連絡先リスト、クリップボードの内容を含む継続的なデータストリームを抽出します。特に懸念されるのはクリップボードの傍受機能で、ユーザーがメッセンジャーを最小化する際に機密情報(暗号通貨ウォレットのシード、パスワード、機密文書など)をキャプチャする可能性があります。
マルウェアは3分ごとに、デバイスの権限、画面の状態、Telegramの認証情報を攻撃者のサーバーにアップロードしています。
結論
「Android.Backdoor.Baohuo.1.origin」は、その高度な機能と革新的なC2メカニズムにより、モバイルセキュリティに対する重大な脅威となっています。ユーザーは、アプリのダウンロード元に注意し、常に正規のアプリストアを利用することが不可欠です。