概要:二重の脅威「GhostGrab」
「GhostGrab」と名付けられた新たなAndroidマルウェアファミリーが、モバイルユーザーを標的としています。このマルウェアは、仮想通貨マイニングと金融データ窃取という二重の収益化戦略を組み合わせた、高度な脅威です。GhostGrabは、銀行の認証情報、デビットカードの詳細、個人識別情報、そしてSMS傍受によるワンタイムパスワード(OTP)を組織的に収集します。
CYFIRMAの分析によると、このマルウェアはモバイル脅威の重大なエスカレーションを示しており、リソースを消費する攻撃と直接的な金融詐欺を融合させています。これにより、デバイスのリソースを消耗させながら、機密性の高い銀行認証情報や個人情報を同時に収集します。さらに、侵害されたデバイスのリソースを利用してバックグラウンドでMonero仮想通貨をマイニングし、脅威アクターに二重の収益源をもたらしています。
隠蔽性と持続性
GhostGrabは、検出を回避し、システムによる終了に抵抗するための複数の高度な持続性技術を採用しています。MainActivityでは、CATEGORY.LAUNCHERの代わりに<intent-filter>とCATEGORY.INFOを使用することで、アプリランチャーから隠蔽され、バックグラウンドで目立たずに実行され、持続的な永続性を維持します。
- 隠蔽されたフォアグラウンド通知: サイレントメディア再生を伴うスティッキーなフォアグラウンド通知を表示。
- バッテリー最適化の回避: バッテリー最適化からの除外を要求。
- アイコンの非表示: アプリのアイコンをランチャーから隠蔽。
- 自動再起動メカニズム: 起動シーケンス、画面状態の変化、接続性の変更など、システムイベントに基づいて自動再起動。
デバイスがロックされている場合、マルウェアは攻撃者が制御するインフラストラクチャから暗号化されたマイニングモジュール(libmine-arm64.so)をダウンロードし、リソースを大量に消費する仮想通貨操作に備えます。
攻撃チェーンと技術的機能
攻撃チェーンは、悪意のあるドメインkychelp[.]live上のJavaScriptベースのリダイレクトから始まります。これにより、被害者のブラウザは「BOM FIXED DEPOSIT.apk」と偽装されたドロッパーAPKを自動的にダウンロードします。ドロッパーは、Playストア風の更新インターフェースを表示し、ユーザーをソーシャルエンジニアリングしてインストール権限を付与させます。
インストール後、REQUEST_INSTALL_PACKAGES権限を悪用して、Google Playを使用せずに隠された追加のペイロード(バンキングスティラーモジュール)のアプリ内インストールを容易にします。
バンキングスティラーコンポーネントは、包括的なデータ流出を可能にするために、広範なAndroid権限を悪用します。
- SMS傍受:
READ_SMS、RECEIVE_SMS、SEND_SMS権限を悪用し、OTP、銀行アラート、二要素認証コードを含むすべての受信メッセージを傍受。 - 通話転送操作:
CALL_PHONEおよびREAD_PHONE_STATE権限により、通話転送操作と不正なUSSDコマンド実行が可能になり、ユーザーの認識なしに受信確認通話を攻撃者が制御する番号に密かに転送する可能性。
多段階の認証情報窃取ワークフロー
マルウェアは、APKのアセットフォルダ内に埋め込まれた洗練されたフィッシングページを含んでおり、WebViewを介して表示され、正規の銀行インターフェースを模倣するように設計されています。これらのページは、段階的な認証情報窃取ワークフローを通じて被害者を誘導します。
- 初期段階: KYC(顧客確認)プロセスを完了するという名目で、氏名、Aadhaar番号、口座番号などの個人情報を要求。
- デビットカード選択時: カード番号、有効期限、CVV、ATM PINなどの完全なカード詳細を要求。
- インターネットバンキング選択時: ユーザーID、ログインパスワード、取引パスワードを要求。
入力されたすべての認証情報は、フォーム送信を監視する注入されたJavaScriptによってキャプチャされ、デバイス識別子とともにJSONペイロードとして、攻撃者が制御するFirebase Realtime Databaseに直接送信されます。
攻撃者のFirebaseバックエンドの分析により、複数の被害者からの氏名、携帯電話番号、Aadhaar識別子、口座番号、CVVコード、カード有効期限、ATM PINを含む平文情報が公開アクセス可能なデータベースに保存されていることが明らかになりました。
C2コマンド実行と経済的影響
GhostGrabは、Firebase Cloud Messagingを利用して、攻撃者からのリモートコマンドを受信および実行します。これには、USSDシーケンスを介した通話転送の有効化または無効化、感染したデバイスからのSMSメッセージ送信、攻撃者が制御する番号への継続的なSMS転送の設定などが含まれます。
マルウェアは広範なSIM偵察を実行し、キャリア名、関連する電話番号、スロットインデックスなどのスロットごとの詳細を収集します。この機能により、包括的な電話プロファイリングとSMS傍受が可能になり、攻撃者がアカウント保護を回避し、二要素認証コードを傍受する能力が大幅に向上します。
マルウェアは、バックグラウンドでの仮想通貨マイニング操作のために、ハードコードされたコマンドラインパラメータを構築します。これには、ハードコードされたMoneroウォレットアドレス、マイニングプールエンドポイント(pool[.]uasecurity[.]org:9000およびpool-proxy[.]uasecurity[.]org:9000)、および被害者のデバイスでマイニングプロセスをトリガーする実行時生成ワーカー識別子が含まれます。このアプローチは、バッテリー寿命、CPUリソース、およびデバイスストレージに持続的な負担をかけながら、脅威アクターに仮想通貨収益をもたらします。
推奨される対策
ユーザーは、インストールされているアプリケーションを直ちに確認し、特に銀行または金融サービスアプリケーションを装っている疑わしいパッケージをアンインストールする必要があります。モバイルデバイス管理者は、強化されたSMSおよび通知監視を展開し、厳格なアプリ審査ポリシーを施行し、金融アプリケーション周辺でのジオフェンシング制限を実装することが推奨されます。
組織は、特権昇格の試み、異常なバックグラウンドプロセス実行、およびFirebaseベースのデータ流出パターンを検出できるモバイル脅威防御ソリューションの導入を検討すべきです。さらに、ユーザーは、SMS傍受攻撃によるアカウントアクセス侵害を防ぐため、可能な場合はSMSではなく認証アプリを介した二要素認証を有効にする必要があります。