Trojan-as-a-Service Hits Euro Banks, Crypto Exchanges
2024/12/06 DarkReading — DroidBot と呼ばれるパワフルな Android RAT は、キーロギング/モニタリング/送受信データ転送などのスパイウェア機能を介して、銀行/暗号通貨取引所などの公的な組織からデータを盗み出している。その一方で、サイバー・セキュリティア研究者たちが懸念しているのは、完全な MaaS (Malware-as-a-Service) へと、DroidBot RAT が拡大しているように見える点である。
Cleafy のレポートによると、DroidBot RAT は2024年半ばから活動しており、少なくとも 17の関連グループで頻繁に使用されているという。研究者たちは、フランス/イタリア/ポルトガル/スペインの組織に対する 77件のサイバー攻撃で、このマルウェアが使用されたと警告している。
さらに、DroidBot Android バンキング RAT が継続的に更新されているという証拠もあり、その波及による危機が、ラテン・アメリカに拡大する可能性も示唆されている。
このマルウェアを分析した結果として、トルコ語を母国語とする開発者が、スペイン語圏の国々へと進出し始めていることが判明している。つまり、この活動が、中南米へと進出する意図を示していると、研究者たちは述べている。
彼らのレポートには、「複数のサンプルで観察された不一致は、現時点において、このマルウェアが開発中であることを示している。具体的な不一致にポイントには、ルートチェック、各レベルでの難読化/多段階の解凍といったプレースホルダー機能が含まれる。ただし、このようなバリエーションは、マルウェアの有効性を高め、特定の環境に合わせて調整する継続的な取り組みを示唆するものでもある」と記されている。
Android バンキング RAT サービスの登場
悪意のバンキング・ アプリなどのユビキタス・アプリに、DroidBot は仕込まれドロップされているが、それは、決して新しい手法ではないと、研究者たちは述べている。この RAT の目新しい点は、SMS メッセージの傍受/キーロギングおよび、スクリーンショットの定期的なキャプチャといった、監視ツールの多用にある。つまり、このマルウェアはアクセシビリティ・サービスも活用し、リモートからのコマンド実行を達成し、被害者のデバイスを操作すると、研究者たちは指摘している。
彼らのレポートには、「さらに、デュアル・チャネル通信を活用し、MQTT を介して窃取データを送信し、HTTPS を介してコマンドを受信することで、操作の柔軟性と回復力を高めてい。このようなプロトコルを採用する、最近の Android バンキング RAT の例としては、Copybara や BRATA/AmexTroll などがある」と記されている。
Cleafy の研究者たちによる警告は、この種の技術仕様はさておき、新たなバンキング RAT-as-a-Service ビジネス・モデルの台頭が、脅威の状況に大きな変化をもたらすという点にある。
このレポートは、「技術的な難しさは、それほど高くはないが、この新しい配布と提携のモデルが、現実的な懸念となる。それにより、攻撃対象領域の監視が、まったく新しいレベルへと引き上げられ、大きな負担が生じる可能性がある。つまり、このようなデータ・セットの規模の変更により、認知のための負荷が大幅に増加するという恐れが生じている」と、締め括っている。
いろんな Malware-as-a-Service が登場してきますが、RAT-as-a-Service という分類は初めて見ました。ひっそりと身を隠して、窃取した機密情報を C2 サーバに送り続けるのでしょう。一般的な MaaS と比べて、APT が使うスパイウェアに似ている感じがします。よろしければ、as-a-Service で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.