近年、インドにおけるAndroidマルウェア攻撃は、政府サービスや公式デジタルプラットフォームへの信頼を悪用するケースが増加しています。脅威アクターは、有名なポータルサイトを模倣し、メッセージングアプリを通じたソーシャルエンジニアリングを駆使することで、ユーザーの緊急性と認証不足を悪用し、大規模な金融詐欺や個人情報窃盗を引き起こしています。
Seqrite Labsでは、セキュリティ調査中に、インド政府機関、特にRTOのチャラン通知や公式警報を偽装してインドユーザーを標的としたAndroidマルウェア攻撃キャンペーンが活発に行われていることを確認いたしました。これらの悪意のあるアプリはGoogle Playストア外で配布されており、主にWhatsAppなどのメッセージングプラットフォームを通じて共有されています。
このキャンペーンは、これまで確認された RTO をテーマにした Android マルウェアの進化形であり、改良された分析対策技術、モジュール式のマルチステージ アーキテクチャ、データ収集とリモート操作のためのより構造化されたバックエンド エコシステムが組み込まれています。
キャンペーン概要
実環境で確認されたのは、3段階のAndroidマルウェアキャンペーンです。RTOチャランや政府関連アプリを装い、主にインドのユーザーを標的としています。このマルウェアはGoogle Playストア外で配布され、データの窃取とコマンドアンドコントロール(C2)通信にクラウドベースのバックエンドサービスを利用しています。
各ステージは個別の APK として配信され、順番にインストールされ、次の目的で設計された連鎖実行フローを形成します。
- 感染成功率を最大化する
- 長期的な持続性を維持する
- 秘密裏に収益化を行う
- 機密性の高いユーザーデータを収集する
このモジュール設計により、脅威の攻撃者はキャンペーン全体を変更することなく個々のステージを置き換えたり更新したりできるため、運用の柔軟性と回避能力が大幅に向上します。
多段階感染チェーン
観察された全体的な実行フローは次のとおりです。
各ステージは、攻撃者が制御するバックエンドと緊密に統合されたまま、個別の機能を実行します。
ステージ1 – ドロッパーと暗号通貨マイナー
主な機能
- ステージ2およびステージ3のペイロードのドロッパーとして機能する
- デバイスがロックされているときに暗号通貨のマイニングを実行する
第一段階のアプリケーションは、後続の段階のアプリケーションを復号してインストールすることで感染チェーンを開始します(図3参照)。同時に、デバイスの画面がオフになったときに起動する暗号マイニングモジュールを実行し、ユーザーの疑念や悪意のある活動の視覚的な兆候を最小限に抑えます(図4参照)。
この行動は、以前に記録されたAndroidクリプトジャッキングキャンペーンと一致しており、マイニング操作はユーザーが操作しなくなるまで延期され、検出を回避します。以前の調査を参照してください。 Androidのクリプトジャッカーが銀行アプリを装い、ロックされたデバイスで暗号通貨をマイニング
第 2 段階のアプリケーションが正常にインストールされると、第 1 段階のマイニング アクティビティは終了し、制御は次のコンポーネントに移されます。
ステージ2 – 永続化、バックエンドの初期化、マイニング
主な機能
- 持続メカニズムを確立する
- バックエンドの接続を初期化します
- 独自の暗号通貨マイニング活動を開始する
ステージ 1 で展開された後、第 2 ステージのアプリケーションは、複数のブロードキャスト レシーバーを登録し、ランチャー アイコンを非表示にし、継続的なバックグラウンド実行を維持することで、長期的な持続性を確保します。
この段階で、マルウェアはクラウドベースのバックエンド インフラストラクチャ (ここでは Google の Firebase) との接続を初期化します (図 5 を参照)。これは、後で次の目的で使用されます。
- 被害者データの保存
- リモート構成
- 指揮統制通信
ステージ2では独立した暗号通貨マイニングプロセスも開始され、制御層と収益化コンポーネントの両方の役割を果たします。このステージは実質的に 初期感染ロジックと最終的な監視ペイロード間の橋渡し.
ステージ3 – データの盗難と監視
主な機能
- 偽の政府UIによるソーシャルエンジニアリング
- 個人情報および財務情報の収集
- バックエンド駆動型C2通信
- SMS転送、通知盗難、通話リダイレクト
インストールすると、第三段階のアプリケーションは、RTOのブランドやロゴが入った、公式の政府ポータルを模倣した不正なユーザーインターフェースを表示します。このアプリは、ユーザーに本人確認や保留中の請求書のクリアを促します。
続行するには、ユーザーは、SMS アクセス、通話履歴、通知リスナー、ストレージ アクセスなどの複数の高リスク権限を付与するように指示されます。
これらの権限が付与されると、マルウェアは以下の情報を収集し始めます。
- 個人識別情報
- 銀行および金融に関する通知
- OTPメッセージと取引アラート
- デバイスのメタデータとシステム情報
収集されたすべてのデータは、構造化されたJSON形式で攻撃者が管理するバックエンドに送信され、さらなる処理のために保存されます。この動作は、以前に記録されたNextGen mParivahanマルウェアキャンペーンと一致しています。以前の調査を参照してください。 ご注意!偽の「NextGen mParivahan」マルウェアが復活
バックエンドインフラストラクチャアクセス
多段階マルウェアを解析した結果、脅威アクターが使用するバックエンドインフラへのアクセスが可能になりました。これにより、キャンペーンの運用面に関する貴重な情報が得られ、マルウェアエコシステムの真の影響、規模、そして能力を評価することができました。
バックエンドは、盗まれたデータを保存したり、感染したデバイスをリアルタイムで制御したりするために積極的に使用されました。
盗まれたデータの種類
バックエンド インフラストラクチャには、次のような機密性が高くセキュリティ上重要な情報が含まれていました。
- 個人を特定できる情報(PII): 氏名、電話番号、生年月日、母親の名前、Aadhaar番号、PAN番号
- 財務および資格情報データ: UPI PIN、クレジットカード情報、ネットバンキングのユーザー名とパスワード
- 監視データ: 傍受されたSMSメッセージ、通知内容、デバイスステータス情報
これは、このマルウェアが基本的なフィッシングに限定されず、本格的な個人情報窃盗および金融詐欺プラットフォームとして機能していたことを示しています。
図 8 は、脅威の攻撃者がデータを保存する構造を示しています。
ログインページでユーザーから収集されたデータは、以下の形式で保存されます。
ユーザーとデバイスを識別するために、収集されたデバイス情報やその他の詳細は次の形式で保存されます。
収集されたメッセージは以下の形式で保存されます –
バックエンドをコマンドアンドコントロール(C2)として使用する
データリポジトリとして機能するだけでなく、バックエンドインフラストラクチャは、 指揮統制(C2)システム.
C2 能力の観測
- リモート構成 – SMS転送電話番号の動的設定
- 追跡と監視 – SMS転送ステータス、通話転送ステータス、デバイスアクティビティ
- 集中管理 – 感染したデバイスのライブ監視、マルウェア展開の運用状況
事実上、バックエンドはオペレーターの中央コントロールパネルとして機能し、次のことを実行できるようになりました。
- 盗まれた被害者のデータを管理する
- キャンペーンのパフォーマンスを監視する
- マルウェアの動作をリモート制御
これは、アマチュアや一度限りの攻撃ではなく、組織化され運用が成熟した脅威インフラストラクチャの存在を裏付けています。
感染規模と被害者への影響
バックエンドインフラストラクチャで利用可能なレコードに基づいて、およそ 7,400デバイス 感染した。被害者全員がすべての許可を与えたり、要求されたすべてのデータを送信したわけではないが、かなりの数の被害者がSMSアクセスを許可し、非常に機密性の高い個人情報や金融情報を送信した。
これは、実際のユーザーに対する大規模で持続的な侵害が成功したことを示し、長期的な財務およびプライバシーへの影響を伴います。
以前のRTOマルウェアキャンペーンからの進化
これまでに記録された RTO および mParivahan マルウェアと比較すると、このキャンペーンでは運用上の大幅な改善が見られます。
| 以前の亜種 | 現在のキャンペーン |
| シングルステージAPK | 3段階のモジュールアーキテクチャ |
| ハードコードされたロジック | 動的リモート構成 |
| 分析防止技術がない、または少ない | 分析回避技術の広範な使用 |
| 限定的なデータ盗難 | 完全な監視ツールキット |
| 収益化なし | 二重収益化(詐欺+マイニング) |
これらの進歩は、脅威の攻撃者が戦術を積極的に改良し、成功したコンポーネントを再利用しながら、バックエンド操作と永続化メカニズムを継続的に改善していることを示しています。
潜在的な虐待シナリオ
観察された機能に基づくと、このマルウェアは次のようないくつかの高リスクの悪用シナリオを可能にします。
- 金融詐欺に対するリアルタイムOTP傍受
- 認証情報収集による銀行口座乗っ取り
- 盗まれた個人情報データを利用したSIMスワップの促進
- AadhaarとPANの詳細を利用したローンおよびクレジット詐欺
- WhatsAppとソーシャルメディアアカウントの乗っ取り
MITRE ATT&CKの戦術とテクニック:
Androidマルウェアのクイックヒール検出:
Quick HealはAndroid.Dropper.Aの亜種を含む悪質なアプリケーションを検出します。
このような脅威を軽減し、保護を維持するために、すべてのモバイルユーザーには「Quick Heal Mobile Security for Android」のような信頼できるウイルス対策ソフトのインストールをお勧めします。当社のウイルス対策ソフトは、ユーザーがモバイルデバイスに悪質なアプリケーションをダウンロードするのを防止します。Android向けの保護ソフトをダウンロードしてください。 こちら
結論
このキャンペーンは、ソーシャルエンジニアリング、モジュール型アーキテクチャ、クラウドベースのコマンドインフラストラクチャ、そしてリアルタイムの金融監視を組み合わせた、インドのAndroidマルウェア攻撃の顕著なエスカレーションを示しています。この3段階の設計に加え、暗号通貨マイニングと集中管理が組み合わさっていることから、機会主義的な攻撃ではなく、長期的な悪用を目的とした高度に組織化された脅威グループの存在が示唆されます。
デジタルで安全を保つためのヒント:
- アプリケーションは信頼できるソースからのみダウンロードしてください。 Googleが店を再生します。
- メッセージやその他のソーシャル メディア プラットフォームを通じて受信したリンクは、意図的または不注意により悪意のあるサイトにつながる可能性があるため、クリックしないでください。
- 新しい権限を受け入れたり許可したりする前に、Android システムからのポップアップ メッセージを読んでください。
- マルウェア作成者は元のアプリケーションの名前、アイコン、開発者の詳細を簡単に偽装できるため、携帯電話にダウンロードするアプリケーションには十分注意してください。
- 携帯電話の保護を強化するには、常に優れたウイルス対策ソフトを使用してください。 Android 向け Quick Heal モバイル セキュリティ。
待ってはいけません! 今すぐクイックヒールトータルセキュリティでスマートフォンを守りましょう。 今すぐ購入または更新しましょう!
