Gate Newsのメッセージ、4月25日 — サイバーセキュリティ企業Zimperiumは、4つの稼働中のマルウェアファミリー(RecruitRat、SaferRat、Astrinox、Massiv)を特定した。銀行、暗号資産、ソーシャルメディアの各セクターにまたがり、800以上のアプリを標的としている。これらのキャンペーンは、高度なアンチ解析手法と、構造的なAPKの改ざんを用いることで、従来のシグネチャベースのセキュリティ機構に対して、ほぼゼロの検知率を維持する。
攻撃者はフィッシングサイト、不正な求人情報、偽のソフトウェア更新、SMS詐欺、プロモーション用の誘導文などを使い、ユーザーをだまして悪意のあるAndroidアプリをインストールさせる。インストールされると、マルウェアはアクセシビリティ権限を要求してアプリアイコンを隠し、アンインストールの試みを妨げ、偽のロック画面を通じてPINやパスワードを盗み、ワンタイムパスコードを傍受し、端末のライブ画面を記録し、正規のバンキングまたは暗号資産アプリの上に偽のログインページを重ねて表示する。
オーバーレイ攻撃は、資格情報の収集(クレデンシャル・ハーベスティング)戦略の中核を成す。マルウェアはアクセシビリティサービスを使って前面で動いているアプリを監視し、被害者が金融アプリを起動したときを検知すると、悪意のあるHTMLペイロードを取得して正規の画面上に重ね、説得力のある欺瞞的な外観を作り出す。
これらのキャンペーンは、HTTPSとWebSocketの通信を用いて悪意のある通信を通常のアプリ活動に紛れ込ませ、一部の亜種では検知をさらに回避するために追加の暗号化レイヤーを採用している。
