
MaaSはMalware as a Serviceです。
次々に新しいMaaSが登場していますが、ここにまた一つMaaSが確認されています。
RedWingは、2026年7月に確認されたAndroid端末をターゲットにした極めて危険な「マルウェア・アズ・ア・サービス(MaaS)」です。
最大の特徴は、サイバー犯罪者が「月額300ドル(約4.5万円)」ほどのサブスクリプション料金を支払うことで、プログラミングの知識が一切ない初心者でも簡単に高度なスマホハッキングを行える「レンタル型ツール」として完成されている点です。
RedWingは、単にデータを盗むだけでなく、端末の完全な乗っ取りから不正送金、さらには他の攻撃への踏み台利用まで、多機能なツールボックスのようになっています。
特徴を見てみましょう。
- 2要素認証(2FA)の完全な無効化
銀行や暗号資産の取引を保護するための「セキュリティの壁」を巧妙に突破します。- SMSの乗っ取り:
端末に届くワンタイムパスワード(OTP)を裏で盗み取ります。 - 無条件の着信転送(
*21*コードの悪用):
被害者への電話を攻撃者側へ密かに転送します。これにより、銀行が不正検知のために行う「確認の電話」を攻撃者が身代わりになって受けてパスしてしまいます。
これは、電話アプリのダイヤル画面からキャリアのシステムに直接コマンドを送信できる「USSDコード」という仕組みを、マルウェアがユーザに気づかれないよう裏で勝手に実行することで設定されてしまいます。
- SMSの乗っ取り:
- 偽の画面を被せる「オーバレイ攻撃」
被害者が本物の銀行アプリや暗号資産ウォレットを開いた瞬間、その画面の真上に、1ミリの狂いもない偽物のログイン画面(オーバレイ)を重ねて表示します。
ユーザが気づかずにパスワードやクレジットカード番号(PAN、CVVなど)を入力すると、リアルタイムで攻撃者に盗まれます。
すでに世界各国の82もの金融機関アプリが標的に設定されています。 - スマホの「生配信」と遠隔操作
「VNC」と呼ばれるリモートデスクトップ技術を悪用します。- 攻撃者は被害者のスマホ画面をリアルタイムで動画として監視(生配信)できます。
- キーボードで入力した内容をすべて記録する「キーロガー」も搭載しています。
- 画面を勝手にスクロールしたり、ボタンをクリックしたりする遠隔操作も可能です。
- カメラ・マイクの盗聴とDDoS攻撃の踏み台
- 遠隔でカメラを起動して写真を撮ったり、マイクで周囲の音声を録音してサーバーへ送信したりできます。
- さらに、感染した大量のスマホを連動させて、特定のウェブサイトをサイバー攻撃(DDoS攻撃)でダウンさせる「ボットネット」の機能も備えています。
これらの特徴は、ひとつひとつをみるとそこまで特徴的なものではありません。
しかしRedWingはこの脅威ツールを利用しようとするMaaSのユーザに、強力な機能を提供しています。
- Telegram(テレグラム)の自動ビルド:
犯罪者はTelegram上のボットを操作するだけで、自分専用のウイルス付きアプリ(APKファイル)を自動生成できます。 - 偽のアプリストアを自動作成:
Google PlayやGalaxy Store、さらにロシアのRuStoreなどのデザインを完全にコピーした偽の配布サイトを瞬時に作成できます。
そこには「偽のレビュー」や「偽のダウンロード数」が表示され、被害者を信用させてアプリをダウンロード(サイドローディング)させます。 - 巧妙な「権限」の要求:
アプリを起動すると、セットアップ画面を装って「アクセシビリティ(ユーザ補助)」「SMSの標準アプリ設定」「バッテリー最適化の無視」などの重大な権限を許可するよう、巧妙に誘導してきます。
最近、この脅威のように悪用するのにスキルを必要としない脅威ツール、増えてきていますね。
MaaSはどんどん練りこまれてきていると感じます。
これを注意すれば大丈夫、というような特効薬はなさそうですが、基本的なスタイルとして、公式ストア以外からアプリを絶対にインストールしない、不審な権限要求を拒否する、生体認証の活用、などはキープしたいところです。
RedWing: A Mobile Malware-as-a-Service Operation
https://zimperium.com/blog/redwing-a-mobile-malware-as-a-service-operation
| この記事をシェア |
|---|