サイバーニュース.jp

世界のサイバーなニュースを配信

高齢者を狙った旅行詐欺でDatzbroマルウェアが拡散

カテゴリ:

, , , , , , , , ,

はじめに

2025年8月、オーストラリア当局は「アクティブシニア旅行」を宣伝する不審なFacebookグループに関する複数の詐欺警告を発しました。当初は無害なコミュニティの集まりに見えたものが、実際には高度なモバイルマルウェア作戦を隠していました。ThreatFabricの研究者たちは、これらのグループが詐欺師によって管理されており、高齢者を「Datzbro」と名付けられた悪意のあるAndroidトロイの木馬のダウンロードに誘い込んでいることを明らかにしました。本レポートでは、このキャンペーンの仕組み、Datzbroの機能、そしてその世界的な脅威について詳しく説明します。

詐欺キャンペーンの概要

このキャンペーンは、社交活動や旅行、対面イベントを求める高齢者を標的としました。詐欺師は、AIが生成した投稿でダンスイベントや日帰り旅行などを告知する多数のFacebookグループを作成しました。内容は本物に見えましたが、高齢者にアピールするように調整されており、興味を持ったユーザーをプライベートメッセージングチャネルに誘導しました。

報告によると、オーストラリアだけでなく、シンガポール、マレーシア、カナダ、南アフリカ、英国でも同様のグループが出現し、ほぼ同じメッセージスタイルとビジュアルが使用されていました。被害者が興味を示すと、詐欺師はFacebook MessengerまたはWhatsApp経由で連絡を取りました。被害者は、イベント登録、メンバーとの交流、スケジュール追跡ができると称する「コミュニティアプリケーション」のダウンロードリンクを受け取りました。一部のケースでは、名目上の登録料が要求され、フィッシングサイトを通じて支払いカード情報が盗まれました。iOSのリンクは機能しないプレースホルダーでしたが、AndroidユーザーがGoogle Playボタンをクリックすると、悪意のあるAPKが提供されました。

Datzbroの脅威

ThreatFabricのモバイル脅威インテリジェンスチームによる分析の結果、ダウンロードされたAPKは、コード内の埋め込み文字列にちなんで「Datzbro」と名付けられた新しいデバイス乗っ取り型トロイの木馬であることが判明しました。このマルウェアは、音声録音、カメラキャプチャ、ファイルおよび写真アクセスといった従来のスパイウェア機能と、高度なリモート制御機能を兼ね備えています。これにより、「ブラックオーバーレイ」攻撃やキーロギングを通じて金融詐欺が可能となり、スパイウェアとバンキング型トロイの木馬の境界線を曖昧にしています。

DatzbroはAndroidのアクセシビリティサービスを悪用し、ホームボタンや戻るボタンのシミュレーションを含む自動ジェスチャーやグローバルアクションを実行します。そのコマンド&コントロール(C2)インターフェースを通じて、オペレーターは以下の操作が可能です。

  • リモート画面共有と制御の開始または停止。
  • 悪意のあるアクションを隠すための半透明オーバーレイの有効化または無効化。
  • デバイスのロックまたはロック解除。
  • 「スキーマティック」リモート制御の起動。これは、アクセシビリティイベントデータに基づいて画面要素を再構築し、ビデオストリーミング品質が悪い場合でも正確な操作を可能にします。

スキーマティックモードでは、マルウェアは画面要素(位置、ラベル、コンテンツ)の構造化された表現を送信し、オペレーターが黒またはカスタマイズされたオーバーレイの背後に隠れながらアプリとシームレスにやり取りできるようにします。

銀行・仮想通貨アプリへの標的

従来のバンキング型トロイの木馬のような完全なオーバーレイツールキットは欠いているものの、Datzbroには銀行および仮想通貨アプリ用のハードコードされたフィルターが含まれています。このマルウェアは、「bank」「pay」「alipay」「wallet」「finance」などのキーワードを含むパッケージ名や、「password」「pin」または言語固有の認証用語を含むイベントテキストについてアクセシビリティイベントを監視します。トリガーされると、Datzbroは偽の認証情報入力画面を表示し、被害者に銀行のPINやパスワードを要求します。また、デバイスのPIN、パターン、パスワードの入力を傍受し、すべての機密認証データを捕捉します。

Datzbroの起源と拡散

さらなる調査により、Datzbroの漏洩したコマンド&コントロールデスクトップアプリケーションとビルダーが、現在公開されているウイルス共有プラットフォームで自由に利用可能であることが明らかになりました。モバイル脅威インテリジェンスは、「最强远控.apk」(「最も強力なリモートコントロール」)と名付けられたサンプルや、中国語のデバッグ文字列を特定しており、開発者の起源を示唆しています。一般的なウェブベースのパネルとは異なり、デスクトップC2インターフェースは独自の運用モデルを示唆しており、このマルウェアが中国語圏のサイバー犯罪コミュニティにルーツを持つことを裏付けています。

緩和策

AI生成コンテンツ、ソーシャルプラットフォーム操作、そしてブラックオーバーレイやスキーマティック制御といった最先端のマルウェア機能を組み合わせることで、脅威アクターは脆弱な高齢者に対して強力な金融脅威を生み出しています。友好的なFacebookの招待から始まるキャンペーンは、最終的にデバイスの完全な乗っ取り、認証情報の窃盗、電信詐欺につながる可能性があります。

Datzbroが世界的に拡散するにつれて、高齢者や地域社会組織の間で意識を高めることが重要です。金融機関やサイバーセキュリティ関係者は、ソーシャルメディアを通じて宣伝される未検証のアプリをダウンロードしないようユーザーに警告する必要があります。アクセシビリティサービス権限の厳格な監視と、不審なオンライングループの警戒的な報告は、ソーシャル詐欺からモバイルマルウェア感染への連鎖を断ち切るのに役立ちます。

侵害の痕跡 (Indicators of Compromise)

  • SHA-256: a57d70b2873d9a3672eda76733c5b2fb96dca502958064fab742cfc074bf0feb
    パッケージ名: twzlibwr.rlrkvsdw.bcfwgozi
    アプリケーション名: Senior Group
  • SHA-256: 453b0a62e414e9b40185c63842546fc96e8e1ab3f77d3230b02988dd8834c555
    パッケージ名: orgLivelyYears.browses646
    アプリケーション名: Lively Years
  • SHA-256: ed2313bfebe03ff29a7c802ddd471583cc8da76bf5cb9f418ae7d999d6a0b9fb
    パッケージ名: com.forest481.security
    アプリケーション名: ActiveSenior
  • SHA-256: fac119c569ba7dd19df9154f22f928cf3f0b0165bbe7d6b11a77215bdfc2a11a
    パッケージ名: inedpnok.kfxuvnie.mggfqzhl
    アプリケーション名: DanceWave

投稿をさらに読み込む