全世界で890万台以上のAndroid端末に事前感染したサイバー犯罪シンジケートが登場

Lemon Groupと呼ばれるサイバー犯罪組織が、世界中で数百万台の感染済みAndroidスマートフォンを悪用して悪質な活動を行い、サプライチェーンに重大なリスクをもたらしています。

サイバーセキュリティ企業であるトレンドマイクロによると、これらの感染端末はモバイルプロキシに変身し、SMSメッセージ、ソーシャルメディア、オンラインメッセージングアカウントの盗難や販売を可能にするとともに、広告やクリック詐欺による収益を上げています。

この作戦の範囲には、少なくとも890万台の感染したAndroid端末、特に格安スマホが含まれています。米国、メキシコ、インドネシア、タイ、ロシア、南アフリカ、インド、アンゴラ、フィリピン、アルゼンチンなどの国々で感染が集中していることが判明しています。Lemon Groupの背後にいる脅威アクターは、Smart TV、Android TVボックス、エンターテイメントシステム、さらには子供用の時計など、他のAndroidベースのIoTデバイスをターゲットに活動を拡大しています。

感染は180カ国以上でグローバルに広がり、50ブランド以上のモバイル機器に影響を及ぼしています。この侵害を引き起こしたマルウェア株は、Guerillaとして知られています。

研究者によると、脅威者は過去5年間にわたりこのマルウェアを拡散してきたという。重要なインフラの侵害に成功した場合、正規のユーザーを犠牲にして、Lemon Groupに大きな利益をもたらす可能性があります。

Guerillaは、2018年にSophosがクリック詐欺を行い、バックドアとして機能する15個のアプリをPlay Storeで発見したことが最初のきっかけでした。2022年初頭、このマルウェアは、さまざまなオンラインプラットフォームに関連するワンタイムパスワード（OTP）を含むSMSメッセージを傍受する機能を備えていることで注目を集めました。その後、脅威行為者は作戦名を「Lemon」から「Durian Cloud SMS」に変更しました。

トレンドマイクロは、Lemonグループの目的は、SMSベースの認証をバイパスして、感染したAndroidデバイスの無防備なユーザーに属する大量の仮想電話番号を宣伝し、オンラインアカウントを作成するためにそれらを販売することであると説明しています。一時的な電話番号や使い捨ての電話番号にはプライバシー上の利点がありますが、大規模なスパムアカウントを作成し、詐欺行為を行うために悪用される可能性もあります。

サイバーセキュリティ企業による今回の調査結果では、SMS奪取機能は、メインプラグインと呼ばれるダウンローダーコンポーネントに関連する多くのプラグインの1つに過ぎないことが明らかになりました。このメインプラグインは、改ざんされたライブラリを通じてザイゴートプロセスにロードされます。zygoteプロセスを改ざんする同じ手法が、Triadaという別のモバイル型トロイの木馬で確認されていることは注目に値します。

Guerillaプラグインは様々な目的を持ち、Lemon Groupの背後にいる行為者にマネタイズの機会を提供します。感染した携帯電話からリバースプロキシーを設定するプロキシープラグイン、ユーザーのFacebookクッキーやプロフィール情報を採取するクッキープラグイン、セッションハイジャックや不要なメッセージを送信するWhatsAppプラグイン、特定のアプリを起動すると不要な広告を表示するスプラッシュプラグイン、APKファイルを密かにインストールしてアプリを起動するサイレントプラグインなどがあります。

さらに調査を進めると、Lemon GroupとTriadaのインフラが重複していることが判明し、ある時点で両グループが協力していた可能性が示唆されました。

ファームウェアの不正改造は、Android Auto用を含む携帯電話用のファームウェアコンポーネントを製造している無名のサードパーティベンダーを通じて行われると考えられています。

トレンドマイクロは、Guerillaを含むトロイの木馬化ファームウェアにデバイスが感染する正確な方法、市場に流通する方法、影響を受けるブランドは明らかにしていない。

関連ニュースとして、マイクロソフトのセキュリティ研究者であるDimitrios Valsamarasは、Dirty Streamと呼ばれる新しい攻撃方法を詳述しています。この攻撃手法は、Androidの共有ターゲットを利用して、悪意のあるペイロードを配布し、他のインストールされているアプリから機密データを取得するものです。この手法は、Webアプリケーションのファイルアップロードの脆弱性に似た脆弱性を悪用し、悪意のあるアプリが特別に細工されたコンテンツプロバイダを使用して、ターゲットアプリケーションにペイロードを送信します。送信者はコンテンツとストリーム名を制御するため、受信者は必要なセキュリティチェックを行わないと、重要なファイルを悪意のあるコンテンツで上書きしてしまう可能性があります。さらに、特定の条件下では、受信者が保護されたファイルを公開ディレクトリにコピーするよう強制されることがあり、ユーザーの個人情報が危険にさらされる可能性があります。

これらのセキュリティ脅威の公開は、サイバー犯罪者の活動が複雑化し、洗練されていることを強調するものです。また、このような攻撃から保護するために、セキュリティ対策を強化し、常に警戒する必要性があることも強調されています。製造業者、ベンダー、そしてユーザーも同様に、強固なセキュリティ対策を実施し、新たな脅威について常に情報を得るという積極的な姿勢を維持しなければなりません。

トレンドマイクロのようなサイバーセキュリティ企業は、このような悪意のある活動を発見し、分析する上で重要な役割を担っています。トレンドマイクロの調査結果は、サイバー犯罪者の進化した手口を明らかにし、組織や個人が防御を強化しリスクを軽減することを可能にします。

サイバー脅威が進化し続ける中、個人や企業は、ソフトウェアやデバイスを最新の状態に保つ、強固でユニークなパスワードを利用する、疑わしいリンクやダウンロードに注意する、データを定期的にバックアップするなどのサイバーセキュリティ対策を優先することが重要です。さらに、新たな脅威に対する認識を維持し、信頼できる情報源を探すことは、ユーザーの情報収集と保護に役立ちます。

サイバー犯罪に対抗するためには、テクノロジー企業、法執行機関、サイバーセキュリティの専門家など、さまざまな関係者が協力して取り組む必要があります。協力し、情報を共有し、革新的なソリューションを開発することで、私たちはサイバー脅威からよりよく守り、デジタルエコシステムの整合性を保護することができます。

---

私について:
東京を拠点にサイバーセキュリティの実践スペシャリストとして活動しています。私の日本語は完璧ではありませんが、あなたと快適に話すことができます。ここで私を見つけることができます -
LinkedIn - https://www.linkedin.com/in/arpitjain099/
GitHub - https://github.com/arpitjain099