AppLiteは、ミッシング(モバイルフィッシング)に使われるマルウェアです。
以前から確認されているAntidotという同様に使用されるマルウェアの亜種です。
おいしい話に乗って手元に展開されます。
展開の様子はこんな感じです。
- 仕事あります
始まりは求人情報を知らせるメールです。
高い時給などの魅力的な内容で、受信者に内容を読ませます。
受信者の受け取る想定の機器はスマホです。 - リクルーターと連絡する
いきなりはマルウェアに感染しません。
脅威アクターの装う偽のリクルーターと連絡を取り合うことになります。 - ファイル入手依頼がくる
やがて、ファイルのダウンロードを促されます。
採用プロセスの一環ということで促されるものとなっていて、ダウンロードしたくなる流れになっています。 - ダウンロードしたものを実行する
ダウンロードしたファイルを実行します。
このファイルはいくつかの機能を持ったドロッパーです。
ZIPファイルを使ってセキュリティアプリの分析を回避し、「携帯電話を保護する」ためにアプリのアップデートをインストールするように画面に表示します。
外部のソースからのファイルダウンロードを許可する設定を画面で案内し実施させます。
アプリのアップデートをインストールするように表示している画面は、見た目としてはGoogle Playストアに見えるように作られています。
しかし、これは本物ではありません。
更新をインストールする操作を実行すると、マルウェアが手元にインストールされます。 - AppLiteの動作が開始される
こうしてマルウェアが設置されます。
AppLiteには多くの機能が実装されています。
アクセシビリティサービスの権限を要求し、それを悪用してデバイスの画面をオーバーレイします。
オペレーターが「キーボードと入力」設定を起動したり、設定された値 (PIN、パターン、パスワードなど) に基づいてロック画面を操作したりできます。
さらに、デバイスを起動したり、画面の明るさを最低レベルに下げたり、オーバーレイを起動してGoogleアカウントの認証情報を盗んだり、アンインストールを防止したりもできます。
そして、特定の SMS メッセージを非表示にしたり、リモート サーバーから受信した定義済みの一連の携帯電話番号からの通話をブロックしたり、「既定のアプリの管理」設定を起動したり、172の銀行や暗号通貨ウォレットやFacebookやTelegramなどのソーシャルメディアサービスの偽のログインページを提供したりといった機能することもできます。
このマルウェアは新しいものではなく、従来からあるマルウェアの亜種ということもあって高機能なのでしょうか。
非常に多くの機能が搭載されています。
さらに対象とする言語も多く、英語、スペイン語、フランス語、ドイツ語、イタリア語、ポルトガル語、ロシア語などの言語が、現時点では対象となっています。
AIなどの便利なシステムがありますので、対象の言語を増やすことの障壁は低いでしょう。
そのうち日本語も対象になるかもしれないですね。
実施できるかできないか、ではなく、実施するかしないか、だけの問題に思えます。
最後の砦の人の部分、注意しようと思います。
AppLite: A New AntiDot Variant Targeting Mobile Employee Devices
https://www.zimperium.com/blog/applite-a-new-antidot-variant-targeting-mobile-employee-devices/
| この記事をシェア |
|
|---|
