GooglePlayに潜入するAndroidマルウェア BRATA、米国とスペインをターゲットに

McAfee Mobile Research Teamは、Google Playで配布されているAndroidマルウェアファミリーBRATAのいくつかの新しい亜種を発見しました。皮肉なことに、アプリのセキュリティスキャナーを装っています。

これらの悪意のあるアプリは、Chrome、WhatsApp、またはPDFリーダーを更新するようユーザーに促しますが、問題のアプリを更新する代わりに、ユーザー補助サービスを悪用してデバイスを完全に制御します。最近のバージョンのBRATAは、ブラジルだけでなくスペインや米国でも、金融機関のユーザーを標的としたフィッシングWebページを提供しているのが見られました。

この記事では、この脅威の概要、このマルウェアの動作方法、および以前のバージョンと比較した主なアップグレードについて説明します。この脅威の技術的な詳細とすべての亜種の違いについて詳しく知りたい場合は、BRATAホワイトペーパー(英語)をこちらからご覧いただけます


BRATAの起源

2018年の終わりに最初に野生で見られ、Kasperskyによって「BrazilianRemote Access Tool Android」(BRATA)と名付けられたこの「RAT(Remote Administration Tool)」は、最初はブラジルのユーザーを対象とし、その後急速に銀行のトロイの木馬に進化しました。完全なデバイス制御機能と、銀行の資格情報を盗むフィッシングWebページを表示する機能に加えて、画面ロックの資格情報(PIN、パスワード、またはパターン)のキャプチャ、キーストロークのキャプチャ(キーロガー機能)、および感染した画面の記録を可能にする機能を組み合わせています。ユーザーの同意なしにユーザーのアクションを監視するデバイス。

BRATAは主にGooglePlayで配布されており、悪意のある攻撃者が被害者を誘惑して、被害者のデバイスにセキュリティの問題があるふりをして、問題を解決するために悪意のあるアプリをインストールするように促します。この一般的な策略を考えると、システムをスキャンして更新するセキュリティソフトウェアを装った信頼できないソースからのリンクをクリックしないようにすることをお勧めします。たとえば、そのリンクがGooglePlayのアプリにつながる場合でも同様です。なお、当社のソリューションでは、McAfee Mobile Securityで、このマルウェアをAndroid / Brataとして検出し、この脅威に対する保護を提供します。


BRATA Androidマルウェアがどのように進化し、新しい被害者を標的にするか

GooglePlayで最近見つかったBRATAの最新バージョンで特定された主なアップグレードと変更は次のとおりです。

  • 地理的拡大:当初はブラジルをターゲットにしていましたが、最近の亜種はスペインと米国のユーザーもターゲットにし始めていることがわかりました。
  • バンキング型トロイの木馬の機能:アクセシビリティサービスを悪用することで感染したデバイスを完全に制御できることに加えて、BRATAは現在、リモートコマンドアンドコントロールサーバーによって定義された特定の金融およびバンキングアプリの存在に基づいてフィッシングURLを提供しています。
  • 自己防衛技術:新しいBRATAバリアントは、文字列の難読化、構成ファイルの暗号化、商用パッカーの使用、コア機能のリモートサーバーへの移動などの新しい保護レイヤーを追加したため、メインアプリケーションを変更せずに簡単に更新できます。一部のBRATAバリアントは、メインペイロードをダウンロードして実行する前に、デバイスが攻撃される価値があるかどうかを最初にチェックするため、自動分析システムをより回避できます。

GooglePlayのBRATA

2020年の間に、BRATAの背後にいる脅威アクターはGoogle Playでいくつかのアプリを公開することに成功し、それらのほとんどは1,000から5,000のインストールに達しました。ただし、最新のものであるDefenseScreenを含むいくつかの亜種も10,000インストールに達し、10月にMcAfeeからGoogleに報告され、後にGooglePlayから削除されました。

図1.GooglePlayのDefenseScreenアプリ

2020年にGooglePlayに登場したすべてのBRATAアプリのうち、5つは、以前のアプリと比較して顕著な改善が見られたため、私たちの注目を集めました。開発者アカウントの名前でそれらを参照します。

図2. 2020年5月から10月までのGooglePlayで特定されたアプリのタイムライン

ソーシャルエンジニアリングのトリック

BRATAは、インストールされているすべてのアプリをスキャンするふりをするセキュリティアプリスキャナーを装い、バックグラウンドで、リモートサーバーによって提供されるターゲットアプリのいずれかがユーザーのデバイスにインストールされているかどうかを確認します。その場合、デバイスの言語に応じて選択された特定のアプリの偽のアップデートをインストールするようにユーザーに促します。英語のアプリの場合、BRATAはChromeのアップデートを提案すると同時に、画面の上部にユーザー補助サービスを有効にするように求める通知を常に表示します。

図3.偽のアプリスキャン機能

ユーザーが[今すぐ更新]をクリックすると、BRATAはAndroid設定のメインの[ユーザー補助]タブを開き、悪意のあるサービスを手動で見つけてユーザー補助サービスを使用する権限を付与するようユーザーに求めます。ユーザーがこの危険なアクションを実行しようとすると、Androidは、特定のアプリにユーザー補助サービスへのアクセスを許可することの潜在的なリスクについて警告します。これには、アプリがアクションを監視したり、Windowsからコンテンツを取得したり、タップ、スワイプ、スワイプなどのジェスチャーを実行したりできることが含まれます。ピンチ。

ユーザーが[OK]をクリックすると、永続的な通知が消え、アプリのメインアイコンが非表示になり、「更新中」という単語が表示された完全な黒い画面が表示されます。これを使用して、アクセシビリティサービスの乱用:

図4.アクセシビリティサービスへのアクセスを要求し、自動化されたアクションを非表示にする可能性のある黒い画面を表示するBRATA

この時点で、アプリはユーザーから完全に隠されており、脅威アクターによって実行されるコマンドアンドコントロールサーバーと常に通信してバックグラウンドで実行されています。アクセシビリティサービスへのアクセスが許可された後にBRATAを分析したときに見た唯一のユーザーインターフェイスは、マルウェアによって作成された次の画面で、デバイスのPINを盗み、電話がないときにそれを使用してロックを解除します。画面はユーザーにPINの確認を求め、実際のP​​INで検証します。これは、間違ったPINを入力するとエラーメッセージが表示され、正しいPINを入力するまで画面が消えないためです。

図5.デバイスのPINを盗もうとしているBRATAと、正しいPINが提供されているかどうかの確認

BRATAの機能

悪意のあるアプリが実行され、ユーザー補助権限が付与されると、BRATAは侵害されたデバイスでほぼすべてのアクションを実行できます。これまでに分析したすべてのペイロードで見つかったコマンドのリストは次のとおりです。

  • ロック画面を盗む(PIN /パスワード/パターン)
  • スクリーンキャプチャ:デバイスの画面を記録し、スクリーンショットをリモートサーバーに送信します
  • アクションの実行:アクセシビリティサービスを悪用して、ユーザーのインターフェイスと対話します
  • デバイスのロック解除:盗まれたPIN /パスワード/パターンを使用してデバイスのロックを解除します
  • アクティビティランチの開始/スケジュール:リモートサーバーによって提供される特定のアクティビティを開きます
  • キーロガーの開始/停止:編集可能なフィールドでのユーザーの入力をキャプチャし、それをリモートサーバーにリークします
  • UIテキストインジェクション:リモートサーバーから提供された文字列を編集可能なフィールドにインジェクトします
  • 着信を非表示/再表示:着信音量を0に設定し、完全な黒い画面を作成して着信を非表示にします
  • クリップボード操作:リモートサーバーから提供された文字列をクリップボードに挿入します

上記のコマンドに加えて、BRATAは、ユーザー補助サービスを悪用してユーザーから自分自身を隠すか、自分自身に特権を自動的に付与することによって、自動化されたアクションも実行します。

  • アプリが画面に表示されているすべてのもののキャプチャを開始することをユーザーに明示的に警告するメディアプロジェクション警告メッセージを非表示にします。
  • 権限ダイアログが画面に表示されたら、「許可」ボタンをクリックして、自分自身に権限を付与します。
  • Google Playストアを無効にするため、GooglePlayプロテクトを無効にします。
  • 「アンインストール」および「強制停止」ボタンを備えたそれ自体の設定インターフェースが画面に表示された場合、それ自体をアンインストールします。

地理的拡張とバンキング型トロイの木馬機能

OutProtectやPrivacyTitanなどの以前のBRATAバージョンは、ブラジルでポルトガル語に設定されたデバイスに実行を制限することによってのみ、ブラジルのユーザーをターゲットにするように設計されていました。しかし、6月に、BRATAの背後にいる脅威アクターがスペイン語や英語などの他の言語へのサポートを追加し始めたことに気づきました。デバイスで構成されている言語に応じて、マルウェアは次の3つのアプリのいずれかが緊急の更新を必要としていることを示していました。
左より、存在しないPDFリーダー(ポルトガル語)、WhatsApp(スペイン語)およびChrome(英語)

図6.デバイスの言語に応じて誤って更新を要求されたアプリ

ユーザーインターフェイス文字列のローカライズに加えて、攻撃者が対象となる金融アプリのリストを更新して、スペインと米国からのアプリを追加していることにも気づきました。9月のターゲットリストには約52個のアプリが含まれていましたが、フィッシングURLが含まれているのは32個だけでした。また、最後のターゲットリストにある20の米国の銀行アプリのうち、フィッシングURLを持っていたのは5つだけでした。侵害されたデバイスに特定の米国の銀行アプリが存在する場合にユーザーに表示されるフィッシングWebサイトの例を次に示します。

図7.米国の銀行からのものを装ったフィッシングWebサイトの例

複数の難読化レイヤーとステージ

2020年を通して、BRATAは絶えず進化し、分析と検出を妨げるさまざまな難読化レイヤーを追加しました。最初の大きな変更の1つは、元の悪意のあるアプリケーションを変更せずに簡単に更新できるように、コア機能をリモートサーバーに移動することでした。同じサーバーが最初の連絡先として使用され、感染したデバイスを登録し、対象となる金融アプリの更新されたリストを提供し、攻撃者がリモートでコマンドを実行するために使用するサーバーのIPアドレスとポートを提供します。侵害されたデバイス:

図8.BRATA高レベルネットワーク通信

追加の保護レイヤーには、文字列の難読化、国と言語のチェック、アセットフォルダー内の特定のキー文字列の暗号化、最新のバリアントでは、悪意のあるアプリの静的および動的分析をさらに防止する商用パッカーの使用が含まれます。次の図は、最新のBRATAバリアントに存在するさまざまな保護レイヤーと実行段階の概要を示しています。

図9.BRATA保護レイヤーと実行段階

予防と防御

BRATAに感染するには、ユーザーはGoogle Playから悪意のあるアプリケーションをインストールする必要があるため、ソーシャルエンジニアリングを使用して正当に見えるマルウェアをインストールするようにユーザーを説得するAndroidの脅威にだまされないようにするための注意事項を以下に示します。

  • 公式ストアで入手できるという理由だけでAndroidアプリケーションを信用しないでください。この場合、被害者は主に、偽のアップデートを提供することで、より安全なデバイスを約束するアプリをインストールするように誘惑されます。Androidでは、アップデートはGoogle Playを介して自動的にインストールされるため、ユーザーがデバイスを最新の状態にするためにサードパーティのアプリをインストールする必要はありません。
  • McAfee Mobile Securityは、マルウェアがGoogle Playからダウンロードされた場合でも、マルウェアをインストールまたは実行しようとするとユーザーに警告します。このアプリケーションやその他の悪意のあるアプリケーションを検出するために、信頼性が高く更新されたアンチウイルスをモバイルデバイスにインストールすることをお勧めします。
  • テキストメッセージやソーシャルメディア、特に不明なソースから受信した疑わしいリンクをクリックしないでください。コンテキストなしでリンクを送信する連絡先が実際にその人から送信されたかどうかは、悪意のあるアプリケーションのダウンロードにつながる可能性があるため、常に他の方法で再確認してください。
  • アプリをインストールする前に、開発者情報、要求された権限、インストール数、レビューの内容を確認してください。アプリケーションの評価が非常に高い場合もありますが、Android / LeifAccessで明らかにしたように、レビューのほとんどは偽物である可能性があります。ランキング操作が行われ、レビューが常に信頼できるとは限らないことに注意してください。

アクセシビリティサービスのアクティブ化はAndroidで非常に敏感であり、このバンキング型トロイの木馬を正常に実行するための鍵となります。これらのサービスへのアクセスが許可されると、BRATAはすべての悪意のあるアクティビティを実行し、デバイスを制御できるためです。このため、Androidユーザーは、アプリへのこのアクセスを許可する際に十分に注意する必要があります。

アクセシビリティサービスは非常に強力であるため、悪意のあるアプリの手に渡ると、デバイスデータ、オンラインバンキングと財務、およびデジタルライフ全体が完全に侵害される可能性があります。


進化を続けるBRATA Androidマルウェア—モバイルデバイスを保護するもう1つの理由

BRATAが2019年に最初に発見され、Kasperskyによって「BrazilianAndroid RAT」と名付けられたとき、理論的には、この脅威の背後にいるサイバー犯罪者が望めば、マルウェアを使用して他のユーザーを標的にすることができると言われていました。2020年に見つかった最新の亜種に基づいて、理論は現実のものとなり、この脅威は現在非常に活発であり、検出と分析をより困難にするために新しいターゲット、新しい言語、新しい保護レイヤーを絶えず追加していることを示しています。

機能面では、BRATAは、アクセシビリティサービスの(乱用)使用がいかに強力であるか、そしてほんの少しのソーシャルエンジニアリングと永続性で、サイバー犯罪者がユーザーをだまして悪意のあるアプリへのアクセスを許可させる方法のもう1つの例です。感染したデバイスを完全に制御します。PIN、パスワード、またはパターンを盗み、画面を記録し、任意のボタンをクリックして、編集可能なフィールドに入力されたものを傍受する機能と組み合わせることで、マルウェアの作成者は、フィッシングWebページを介した銀行のクレデンシャルなど、必要なデータを事実上取得できます。または、アプリ自体から直接、これらすべてのアクションをユーザーから隠します。

調査結果、2020年にGoogle Playで見つかったアプリの数、対象となる金融アプリの数の増加から判断すると、BRATAは進化を続け、新しい機能、新しいターゲット、新しい難読化手法を追加して、できるだけ多くのユーザーをターゲットにしているようです。可能ですが、Playストアから検出されて削除されるリスクを軽減することも試みます。

McAfee Mobile Securityは、この脅威をAndroid / Brataとして検出します。このような脅威から身を守るには、モバイルデバイスでセキュリティソフトウェアを使用し、Google Playなどの信頼できるソースからダウンロードされた場合でも、疑わしいアプリへのユーザー補助サービスへのアクセスを許可する前によく考えてください。


付録

戦術、戦法、手順(TTPS)

図10.BRATA用のMITREATT&CK Mobile

IoC 痕跡情報

Apps:

SHA256 Package Name Installs
4cdbd105ab8117620731630f8f89eb2e6110dbf6341df43712a0ec9837c5a9be com.outprotect.android 1,000+
d9bc87ab45b0c786aa09f964a8101f6df7ea76895e2e8438c13935a356d9116b com.privacytitan.android 1,000+
f9dc40a7dd2a875344721834e7d80bf7dbfa1bf08f29b7209deb0decad77e992 com.greatvault.mobile 10,000+
e00240f62ec68488ef9dfde705258b025c613a41760138b5d9bdb2fb59db4d5e com.pw.secureshield 5,000+
2846c9dda06a052049d89b1586cff21f44d1d28f153a2ff4726051ac27ca3ba7 com.defensescreen.application 10,000+

URLs:

  • bialub[.]com
  • brorne[.]com
  • jachof[.]com

 

※本ページの内容は2021年4月12日(US時間)更新の以下のMcAfee Blogの内容です。
原文:BRATA Keeps Sneaking into Google Play, Now Targeting USA and Spain
著者: and