Roaming Mantisフィッシングキャンペーンは、2018年以来、アジアのAndroidユーザーからSMSメッセージと連絡先リストを盗むために物流会社になりすましています。2020年の後半、このキャンペーンはダイナミックDNSサービスを採用し、偽のChromeアプリケーションMoqHaoで被害者を感染させたフィッシングURLを使用し、メッセージを拡散することによりその効果を向上させました。
さらに、2021年1月以降、McAfee モバイルリサーチチームでは、Roaming MantisがSmsSpyと呼ばれる新しいマルウェアを使用し日本のユーザーを標的にしていることを確認しました。悪意のあるコードは、対象のデバイスで使用されているOSのバージョンに応じて、2つのバリアントのいずれかを使用してAndroidユーザーに感染します。OSのバージョンに基づいて悪意のあるペイロードをダウンロードするこの機能により、攻撃者はさらに広範なAndroidデバイスに対し、巧みに感染を拡大させることが可能になります。
スミッシングテクニック
使用されているフィッシングSMSメッセージは最近のキャンペーンのメッセージと似ていますが、フィッシングURLの構成には「post」という用語が含まれています。
図:物流会社からの通知になりすましたフィッシングメッセージ(出典:Twitter)
別のスミッシングメッセージは、ビットコインオペレーターのふりをして、被害者をフィッシングサイトに誘導し、そこでユーザーは不正なログインを確認するように求められます。
図:ビットコインオペレーターからの通知になりすましたフィッシングメッセージ。(出典:Twitter)
調査中に、フィッシングWebサイト hxxps:// bitfiye [。] comがhxxps://post.hygvv [。] com にリダイレクトされるのを確認しました。リダイレクトされたURLには「post」という単語も含まれており、最初のスクリーンショットと同じ形式に従っています。このように、攻撃の背後にいる攻撃者は、標的の会社やサービスに似たドメインからリダイレクトすることにより、SMSフィッシングキャンペーンのバリエーションを拡大しようとします。
マルウェアのダウンロード
マルウェア配布プラットフォームの特徴である、フィッシングページにアクセスしたAndroid OSのバージョンに応じて、さまざまなマルウェアが配布されます。Android OS 10以降では、偽のGoogle Playアプリがダウンロードされます。Android 9以前のデバイスでは、偽のChromeアプリがダウンロードされます。
表示されたメッセージ:セキュリティ向上のため最新バージョンのChromeにアップデートしてください
図:ダウンロード用の偽のChromeアプリケーション(Android OS 9以下)
図:ダウンロード用の偽のGoogle Playアプリ(Android OS 10以降)
表示されたメッセージ:このページに埋め込まれているページの内容 【重要】セキュリティ向上のため、最新バージョンのGoogle Playにアップデートしてください!(左)
この種類のファイルはお使いのデバイスに悪影響を与える可能性があります。GooglePlay.apkを保存しますか?(右)
悪意のあるプログラムコードはAndroidOSのメジャーアップグレードごとに変更する必要があるため、マルウェアの作成者は、1種類のマルウェアだけで小さなセットをカバーしようとするのではなく、OSを検出するマルウェアを配布することでより多くのデバイスをカバーしているようです。
技術的な振る舞い
このマルウェアの主な目的は、感染したデバイスから電話番号とSMSメッセージを盗むことです。マルウェアは実行されると、ChromeまたはGoogle Playアプリのふりをして、デフォルトのメッセージングアプリケーションに被害者の連絡先とSMSメッセージを読み取るように要求します。最新のAndroidデバイスでのGoogle Playによるセキュリティサービスのふりをしたり、さらに最新のAndroidデバイスのセキュリティサービスになりすますこともできます。両方の例を以下に示します。
図:偽のChromeアプリによるデフォルトのメッセージングアプリリクエスト
表示されたメッセージ:本製品の機能や情報にアクセスするアプリ/機能を初めて起動すると、アクセス権限の許可をリクエストする確認画面が表示されます。許可をしないとアプリ/機能を起動できない場合や、機能の利用が制限される場合があります。(右)
図:偽のGoogle Playアプリによるデフォルトのメッセージングアプリリクエスト
表示されたメッセージ:端末は保護されています
ウィルス/スパイウェア対策
フィッシング詐欺対策
迷惑メール対策
アイコンを非表示にした後、マルウェアはバックグラウンドで攻撃者のコマンドアンドコントロール(C2)サーバーと通信するためのWebSocket接続を確立します。デフォルトの宛先アドレスはマルウェアコードに埋め込まれています。さらに、必要に応じてC2サーバーの場所を更新するためのリンク情報があります。したがって、デフォルトサーバーが検出されない場合、またはデフォルトサーバーから応答が受信されない場合、C2サーバーの場所は更新リンクから取得されます。
MoqHaoファミリーは、ブログサービスのユーザープロファイルページでC2サーバーの場所を非表示にしますが、この新しいファミリーの一部のサンプルでは、中国のオンラインドキュメントサービスを使用してC2の場所を非表示にしています。以下は、オンラインドキュメントからの新しいC2サーバーの場所の例です。
図:オンラインドキュメントに記載されているC2サーバーの場所
ハンドシェイクプロセスの一環として、マルウェアはAndroid OSのバージョン、電話番号、デバイスモデル、インターネット接続タイプ(4G / Wi-Fi)、および感染したデバイス上の一意のデバイスIDをC2サーバーに送信します。
次に、C2サーバーからのコマンドを確認します。分析したサンプルは、連絡先とSMSメッセージの電話番号を盗むことを目的として以下のコマンドをサポートしていました。
| コマンド文字列 | 説明 |
|---|---|
| 通讯录 | アドレス帳 全体をサーバーに送信する |
| 收件箱 | すべてのSMSメッセージをサーバーに送信する |
| 拦截短信&open | <SMSメッセージの削除>を開始する |
| 拦截短信&close | <SMSメッセージの削除>を停止する |
| 发短信& | コマンドデータにはSMSメッセージと宛先番号が含まれており、感染したデバイスを介して送信する |
表:WebSocketを介したリモートコマンド
結論
アジア諸国を標的とした現在進行中のフィッシングキャンペーンでは、MoqHao、SpyAgent、FakeSpyなどのさまざまなモバイルマルウェアが使用されていると考えられます。私たちの調査に基づいて、今回発見された新しいタイプのマルウェアは、変更されたインフラストラクチャとペイロードを使用しています。サイバー犯罪者には複数のグループが存在する可能性があり、各グループは攻撃インフラストラクチャとマルウェアを個別に開発していると考えています。または、以前に成功したサイバー攻撃を利用した別のグループの作業である可能性があります。
McAfee Mobile Securityは、この脅威をAndroid / SmsSpyとして検出し、存在する場合はモバイルユーザーに警告し、データ損失からさらに保護します。McAfee Mobile Securityの詳細については、https://www.mcafeemobilesecurity.comでご確認いただけます。
付録– IoC
C2サーバー:
・168[.]126[.]149[.]28:7777
・165[.]3[.]93[.]6:7777
・103[.]85[.]25[.]165:7777
リンクの更新:
・r10zhzzfvj [。] feishu.cn / docs / doccnKS75QdvobjDJ3Mh9RlXtMe
・0204 [。] info
・0130one [。]情報
・210302 [。]トップ
・210302bei [。] top
フィッシングドメイン:
| ドメイン | 登録日 |
|---|---|
| post.jpostp.com | 2021-03-15 |
| manag.top | 2021-03-11 |
| post.niceng.top | 2021-03-08 |
| post.hygvv.com | 2021-03-04 |
| post.cepod.xyz | 2021-03-04 |
| post.jposc.com | 2021-02-08 |
| post.ckerr.site | 2021-02-06 |
| post.vioiff.com | 2021-02-05 |
| post.cioaq.com | 2021-02-04 |
| post.tpliv.com | 2021-02-03 |
| posk.vkiiu.com | 2021-02-01 |
| sagawae.kijjh.com | 2021-02-01 |
| post.viofrr.com | 2021-01-31 |
| posk.ficds.com | 2021-01-30 |
| sagawae.ceklf.com | 2021-01-30 |
| post.giioor.com | 2021-01-30 |
| post.rdkke.com | 2021-01-29 |
| post.japqn.com | 2021-01-29 |
| post.thocv.com | 2021-01-28 |
| post.xkdee.com | 2021-01-27 |
| post.sagvwa.com | 2021-01-25 |
| post.aiuebc.com | 2021-01-24 |
| post.postkp.com | 2021-01-23 |
| post.solomsn.com | 2021-01-22 |
| post.civrr.com | 2021-01-21 |
| post.jappnve.com | 2021-01-19 |
| sp.vvsscv.com | 2021-01-16 |
| ps.vjiir.com | 2021-01-15 |
| post.jpaeo.com | 2021-01-12 |
| t.aeomt.com | 2021-01-2 |
サンプルハッシュ情報:
| ハッシュ | パッケージ名 | 偽のアプリケーション |
|---|---|---|
| EA30098FF2DD1D097093CE705D1E4324C8DF385E7B227C1A771882CABEE18362 | com.gmr.keep | クロム |
| 29FCD54D592A67621C558A115705AD81DAFBD7B022631F25C3BAAE954DB4464B | com.gmr.keep | グーグルプレイ |
| 9BEAD1455BFA9AC0E2F9ECD7EDEBFDC82A4004FCED0D338E38F094C3CE39BCBA | com.mr.keep | グーグルプレイ |
| D33AB5EC095ED76EE984D065977893FDBCC12E9D9262FA0E5BC868BAD73ED060 | com.mrc.keep | クロム |
| 8F8C29CC4AED04CA6AB21C3C44CCA190A6023CE3273EDB566E915FE703F9E18E | com.hhz.keeping | クロム |
| 21B958E800DB511D2A0997C4C94E6F0113FC4A8C383C73617ABCF1F76B81E2FD | com.hhz.keeping | グーグルプレイ |
| 7728EF0D45A337427578AAB4C205386CE8EE5A604141669652169BA2FBA23B30 | com.hz.keep3 | クロム |
| 056A2341C0051ACBF4315EC5A6EEDD1E4EAB90039A6C336CC7E8646C9873B91A | com.hz.keep3 | グーグルプレイ |
| 054FA5F5AD43B6D6966CDBF4F2547EDC364DDD3D062CD029242554240A139FDB | com.hz.keep2 | グーグルプレイ |
| DD40BC920484A9AD1EEBE52FB7CD09148AA6C1E7DBC3EB55F278763BAF308B5C | com.hz.keep2 | クロム |
| FC0AAE153726B7E0A401BD07C91B949E8480BAA0E0CD607439ED01ABA1F4EC1A | com.hz.keep1 | グーグルプレイ |
| 711D7FA96DFFBAEECEF12E75CE671C86103B536004997572ECC71C1AEB73DEF6 | com.hz.keep1 | クロム |
| FE916D1B94F89EC308A2D58B50C304F7E242D3A3BCD2D7CCC704F300F218295F | com.hz.keep1 | グーグルプレイ |
| 3AA764651236DFBBADB28516E1DCB5011B1D51992CB248A9BF9487B72B920D4C | com.hz.keep1 | クロム |
| F1456B50A236E8E42CA99A41C1C87C8ED4CC27EB79374FF530BAE91565970995 | com.hz.keep | グーグルプレイ |
| 77390D07D16E6C9D179C806C83D2C196A992A9A619A773C4D49E1F1557824E00 | com.hz.keep | クロム |
| 49634208F5FB8BCFC541DA923EBC73D7670C74C525A93B147E28D535F4A07BF8 | com.hz.keep | クロム |
| B5C45054109152F9FE76BEE6CBBF4D8931AE79079E7246AA2141F37A6A81CBA3 | com.hz.keep | グーグルプレイ |
| 85E5DBEA695A28C3BA99DA628116157D53564EF9CE14F57477B5E3095EED5726 | com.hz.keep | クロム |
| 53A5DD64A639BF42E174E348FEA4517282C384DD6F840EE7DC8F655B4601D245 | com.hz.keep | グーグルプレイ |
| 80B44D23B70BA3D0333E904B7DDDF7E19007EFEB98E3B158BBC33CDA6E55B7CB | com.hz.keep | クロム |
| 797CEDF6E0C5BC1C02B4F03E109449B320830F5ECE0AA6D194AD69E0FE6F3E96 | com.hz.keep | クロム |
| 691687CB16A64760227DCF6AECFE0477D5D983B638AFF2718F7E3A927EE2A82C | com.hz.keep | グーグルプレイ |
| C88C3682337F7380F59DBEE5A0ED3FA7D5779DFEA04903AAB835C959DA3DCD47 | com.hz.keep | グーグルプレイ |
※本ページの内容は2021年5月5日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Roaming Mantis Amplifies Smishing Campaign with OS-Specific Android Malware
著者:ZePeng Chen and Yukihiro Okutomi
