Android SMS盗難キャンペーンが113カ国で検出

米国のモバイルセキュリティ会社Zimperiumの研究者たちは、113カ国でAndroidデバイスに影響を与える大規模なSMS盗難キャンペーンを発見しました。

この大規模なキャンペーンは、Zimperiumが2022年2月から追跡しており、ユーザーのSMSメッセージを盗む悪意のあるAndroidアプリを使用する107,000以上のユニークなマルウェアサンプルを特定しています。

このマルウェアキャンペーンの背後にいる脅威アクターは、悪意のある広告リンクやTelegramボットを使用して、潜在的な被害者とのコミュニケーションを自動化しました。

マルバタイジングの場合、被害者はGoogle Playストアを模倣した偽のウェブページに誘導され、偽の信頼感と安全性を植え付けるために誇張されたダウンロード数が表示されます。

一方、Telegramでは、ボットが正当なサービスを装い、被害者を合法的なAPK（Androidアプリケーションパッケージ）に偽装したユニークな悪意のあるアプリケーションをダウンロードさせるように騙しました。

例えば、ボットはユーザーに海賊版APKファイルを提供すると約束し、ユーザーに電話番号を共有するよう要求します。これにより、攻撃者は個別の追跡や将来の攻撃のために新しいAPKを作成することができます。

「被害者が攻撃者の手中にしっかりと捕らえられると、攻撃者はユーザーに関する機密情報を盗んで販売する能力を持つようになります」とZimperiumはブログ投稿で述べています。

Zimperiumによると、このキャンペーンには約2,600のTelegramボットの広範なネットワークが関連しており、さまざまなAndroid APKを宣伝していました。さらに、マルウェアは被害者のデバイスからSMSメッセージを盗み漏洩させるために13のコマンド＆コントロール（C&C）サーバーを使用しました。

「107,000のマルウェアサンプルのうち、99,000以上のアプリケーションは一般に利用可能なリポジトリには存在しないか、存在していませんでした。このマルウェアは、6つのグローバルブランドにわたるワンタイムパスワードメッセージを監視しており、一部のブランドは数億人のユーザーを抱えています」とモバイルセキュリティ会社は付け加えました。

このキャンペーンの被害者は113カ国に広がり、ロシアとインドが主なターゲットであり、ブラジル、メキシコ、米国、ウクライナ、スペイン、トルコが続きました。

調査中、Zimperiumはマルウェアが感染したデバイスから特定のAPIエンドポイント「fastsms[.]su」ドメインにSMSメッセージを送信することを発見しました。Fast SMS（「fastsms[.]su」）は、ユーザーがさまざまなオンラインアプリやサービスでの匿名化および認証目的のために外国の「仮想」電話番号へのアクセスを購入できるウェブサイトです。

研究者たちは、感染したデバイスに関連付けられた電話番号が、被害者の知らないうちにさまざまなオンラインアカウントのためにサービスによって使用されていると考えています。要求されたAndroid SMSアクセス権限により、マルウェアはアカウント登録や二要素認証（2FA）に必要なワンタイムパスワード（OTP）を傍受することができます。

被害者は、モバイルアカウントに対して不正な料金が発生したり、デバイスや電話番号に関与する違法活動に巻き込まれる可能性があります。

「このモバイルマルウェアの蔓延とデータ盗難の容易さ（例：SMS、OTP）は、個人や組織にとって重大な脅威をもたらします。これらの盗まれた資格情報は、フィッシングキャンペーンやソーシャルエンジニアリング攻撃を開始するために人気のあるサービスで偽のアカウントを作成するなど、さらなる詐欺行為の踏み台となります」とZimperiumは結論付けました。

電話番号の悪用を避けるために、ユーザーはGoogle Playストア以外からのAPKダウンロードを避け、無関係な機能に対して過剰なアプリ権限を拒否し、デバイスでPlay Protectが有効になっていることを確認するように促されています。