Roaming Mantis Androidマルウェアによる日本ユーザーを標的としたフィッシング攻撃を確認

Roaming Mantisフィッシングキャンペーンは、2018年以来、アジアのAndroidユーザーからSMSメッセージと連絡先リストを盗むために物流会社になりすましています。2020年の後半、このキャンペーンはダイナミックDNSサービスを採用し、偽のChromeアプリケーションMoqHaoで被害者を感染させたフィッシングURLを使用し、メッセージを拡散することによりその効果を向上させました。

さらに、2021年1月以降、McAfee モバイルリサーチチームでは、Roaming MantisがSmsSpyと呼ばれる新しいマルウェアを使用し日本のユーザーを標的にしていることを確認しました。悪意のあるコードは、対象のデバイスで使用されているOSのバージョンに応じて、2つのバリアントのいずれかを使用してAndroidユーザーに感染します。OSのバージョンに基づいて悪意のあるペイロードをダウンロードするこの機能により、攻撃者はさらに広範なAndroidデバイスに対し、巧みに感染を拡大させることが可能になります。


スミッシングテクニック

使用されているフィッシングSMSメッセージは最近のキャンペーンのメッセージと似ていますが、フィッシングURLの構成には「post」という用語が含まれています。

図:物流会社からの通知になりすましたフィッシングメッセージ(出典:Twitter

別のスミッシングメッセージは、ビットコインオペレーターのふりをして、被害者をフィッシングサイトに誘導し、そこでユーザーは不正なログインを確認するように求められます。

図:ビットコインオペレーターからの通知になりすましたフィッシングメッセージ。(出典:Twitter

調査中に、フィッシングWebサイト hxxps:// bitfiye [。] comがhxxps://post.hygvv [。] com にリダイレクトされるのを確認しました。リダイレクトされたURLには「post」という単語も含まれており、最初のスクリーンショットと同じ形式に従っています。このように、攻撃の背後にいる攻撃者は、標的の会社やサービスに似たドメインからリダイレクトすることにより、SMSフィッシングキャンペーンのバリエーションを拡大しようとします。


マルウェアのダウンロード

マルウェア配布プラットフォームの特徴である、フィッシングページにアクセスしたAndroid OSのバージョンに応じて、さまざまなマルウェアが配布されます。Android OS 10以降では、偽のGoogle Playアプリがダウンロードされます。Android 9以前のデバイスでは、偽のChromeアプリがダウンロードされます。

表示されたメッセージ:セキュリティ向上のため最新バージョンのChromeにアップデートしてください

図:ダウンロード用の偽のChromeアプリケーション(Android OS 9以下)

 

表示されたメッセージ:このページに埋め込まれているページの内容 【重要】セキュリティ向上のため、最新バージョンのGoogle Playにアップデートしてください!(左) この種類のファイルはお使いのデバイスに悪影響を与える可能性があります。GooglePlay.apkを保存しますか?(右)

 

図:ダウンロード用の偽のGoogle Playアプリ(Android OS 10以降)

悪意のあるプログラムコードはAndroidOSのメジャーアップグレードごとに変更する必要があるため、マルウェアの作成者は、1種類のマルウェアだけで小さなセットをカバーしようとするのではなく、OSを検出するマルウェアを配布することでより多くのデバイスをカバーしているようです。


技術的な振る舞い

このマルウェアの主な目的は、感染したデバイスから電話番号とSMSメッセージを盗むことです。マルウェアは実行されると、ChromeまたはGoogle Playアプリのふりをして、デフォルトのメッセージングアプリケーションに被害者の連絡先とSMSメッセージを読み取るように要求します。最新のAndroidデバイスでのGoogle Playによるセキュリティサービスのふりをしたり、さらに最新のAndroidデバイスのセキュリティサービスになりすますこともできます。両方の例を以下に示します。

表示されたメッセージ:本製品の機能や情報にアクセスするアプリ/機能を初めて起動すると、アクセス権限の許可をリクエストする確認画面が表示されます。許可をしないとアプリ/機能を起動できない場合や、機能の利用が制限される場合があります。(右)

 

図:偽のChromeアプリによるデフォルトのメッセージングアプリリクエスト

 

 表示されたメッセージ:
端末は保護されています
 ウィルス/スパイウェア対策
 フィッシング詐欺対策
 迷惑メール対策

図:偽のGoogle Playアプリによるデフォルトのメッセージングアプリリクエスト

アイコンを非表示にした後、マルウェアはバックグラウンドで攻撃者のコマンドアンドコントロール(C2)サーバーと通信するためのWebSocket接続を確立します。デフォルトの宛先アドレスはマルウェアコードに埋め込まれています。さらに、必要に応じてC2サーバーの場所を更新するためのリンク情報があります。したがって、デフォルトサーバーが検出されない場合、またはデフォルトサーバーから応答が受信されない場合、C2サーバーの場所は更新リンクから取得されます。

MoqHaoファミリーは、ブログサービスのユーザープロファイルページでC2サーバーの場所を非表示にしますが、この新しいファミリーの一部のサンプルでは、​​中国のオンラインドキュメントサービスを使用してC2の場所を非表示にしています。以下は、オンラインドキュメントからの新しいC2サーバーの場所の例です。

図:オンラインドキュメントに記載されているC2サーバーの場所

ハンドシェイクプロセスの一環として、マルウェアはAndroid OSのバージョン、電話番号、デバイスモデル、インターネット接続タイプ(4G / Wi-Fi)、および感染したデバイス上の一意のデバイスIDをC2サーバーに送信します。

次に、C2サーバーからのコマンドを確認します。分析したサンプルは、連絡先とSMSメッセージの電話番号を盗むことを目的として以下のコマンドをサポートしていました。

Command String Description
通讯录 Send whole contact book to server
收件箱 Send all SMS messages to server
拦截短信&open Start <Delete SMS message>
拦截短信&close Stop <Delete SMS message>
发短信& Command data contains SMS message and destination number, send them via infected device

表:WebSocketを介したリモートコマンド


結論

アジア諸国を標的とした現在進行中のフィッシングキャンペーンでは、MoqHaoSpyAgentFakeSpyなどのさまざまなモバイルマルウェアが使用されていると考えられます。私たちの調査に基づいて、今回発見された新しいタイプのマルウェアは、変更されたインフラストラクチャとペイロードを使用しています。サイバー犯罪者には複数のグループが存在する可能性があり、各グループは攻撃インフラストラクチャとマルウェアを個別に開発していると考えています。または、以前に成功したサイバー攻撃を利用した別のグループの作業である可能性があります。

McAfee Mobile Securityは、この脅威をAndroid / SmsSpyとして検出し、存在する場合はモバイルユーザーに警告し、データ損失からさらに保護します。McAfee Mobile Securityの詳細については、https://www.mcafeemobilesecurity.comでご確認いただけます


付録– IoC

C2サーバー:

  • 168[.]126[.]149[.]28:7777
  • 165[.]3[.]93[.]6:7777
  • 103[.]85[.]25[.]165:7777

リンクの更新:

  • r10zhzzfvj[.]feishu.cn/docs/doccnKS75QdvobjDJ3Mh9RlXtMe
  • 0204[.]info
  • 0130one[.]info
  • 210302[.]top
  • 210302bei[.]top

フィッシングドメイン:

ドメイン 登録日
post.jpostp.com 2021-03-15
manag.top 2021-03-11
post.niceng.top 2021-03-08
post.hygvv.com 2021-03-04
post.cepod.xyz 2021-03-04
post.jposc.com 2021-02-08
post.ckerr.site 2021-02-06
post.vioiff.com 2021-02-05
post.cioaq.com 2021-02-04
post.tpliv.com 2021-02-03
posk.vkiiu.com 2021-02-01
sagawae.kijjh.com 2021-02-01
post.viofrr.com 2021-01-31
posk.ficds.com 2021-01-30
sagawae.ceklf.com 2021-01-30
post.giioor.com 2021-01-30
post.rdkke.com 2021-01-29
post.japqn.com 2021-01-29
post.thocv.com 2021-01-28
post.xkdee.com 2021-01-27
post.sagvwa.com 2021-01-25
post.aiuebc.com 2021-01-24
post.postkp.com 2021-01-23
post.solomsn.com 2021-01-22
post.civrr.com 2021-01-21
post.jappnve.com 2021-01-19
sp.vvsscv.com 2021-01-16
ps.vjiir.com 2021-01-15
post.jpaeo.com 2021-01-12
t.aeomt.com 2021-01-2

 

サンプルハッシュ情報:

ハッシュ パッケージ名 Fake Application
EA30098FF2DD1D097093CE705D1E4324C8DF385E7B227C1A771882CABEE18362 com.gmr.keep Chrome
29FCD54D592A67621C558A115705AD81DAFBD7B022631F25C3BAAE954DB4464B com.gmr.keep Google Play
9BEAD1455BFA9AC0E2F9ECD7EDEBFDC82A4004FCED0D338E38F094C3CE39BCBA com.mr.keep Google Play
D33AB5EC095ED76EE984D065977893FDBCC12E9D9262FA0E5BC868BAD73ED060 com.mrc.keep Chrome
8F8C29CC4AED04CA6AB21C3C44CCA190A6023CE3273EDB566E915FE703F9E18E com.hhz.keeping Chrome
21B958E800DB511D2A0997C4C94E6F0113FC4A8C383C73617ABCF1F76B81E2FD com.hhz.keeping Google Play
7728EF0D45A337427578AAB4C205386CE8EE5A604141669652169BA2FBA23B30 com.hz.keep3 Chrome
056A2341C0051ACBF4315EC5A6EEDD1E4EAB90039A6C336CC7E8646C9873B91A com.hz.keep3 Google Play
054FA5F5AD43B6D6966CDBF4F2547EDC364DDD3D062CD029242554240A139FDB com.hz.keep2 Google Play
DD40BC920484A9AD1EEBE52FB7CD09148AA6C1E7DBC3EB55F278763BAF308B5C com.hz.keep2 Chrome
FC0AAE153726B7E0A401BD07C91B949E8480BAA0E0CD607439ED01ABA1F4EC1A com.hz.keep1 Google Play
711D7FA96DFFBAEECEF12E75CE671C86103B536004997572ECC71C1AEB73DEF6 com.hz.keep1 Chrome
FE916D1B94F89EC308A2D58B50C304F7E242D3A3BCD2D7CCC704F300F218295F com.hz.keep1 Google Play
3AA764651236DFBBADB28516E1DCB5011B1D51992CB248A9BF9487B72B920D4C com.hz.keep1 Chrome
F1456B50A236E8E42CA99A41C1C87C8ED4CC27EB79374FF530BAE91565970995 com.hz.keep Google Play
77390D07D16E6C9D179C806C83D2C196A992A9A619A773C4D49E1F1557824E00 com.hz.keep Chrome
49634208F5FB8BCFC541DA923EBC73D7670C74C525A93B147E28D535F4A07BF8 com.hz.keep Chrome
B5C45054109152F9FE76BEE6CBBF4D8931AE79079E7246AA2141F37A6A81CBA3 com.hz.keep Google Play
85E5DBEA695A28C3BA99DA628116157D53564EF9CE14F57477B5E3095EED5726 com.hz.keep Chrome
53A5DD64A639BF42E174E348FEA4517282C384DD6F840EE7DC8F655B4601D245 com.hz.keep Google Play
80B44D23B70BA3D0333E904B7DDDF7E19007EFEB98E3B158BBC33CDA6E55B7CB com.hz.keep Chrome
797CEDF6E0C5BC1C02B4F03E109449B320830F5ECE0AA6D194AD69E0FE6F3E96 com.hz.keep Chrome
691687CB16A64760227DCF6AECFE0477D5D983B638AFF2718F7E3A927EE2A82C com.hz.keep Google Play
C88C3682337F7380F59DBEE5A0ED3FA7D5779DFEA04903AAB835C959DA3DCD47 com.hz.keep Google Play

※本ページの内容は2021年5月5日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Roaming Mantis Amplifies Smishing Campaign with OS-Specific Android Malware
著者: and