PR

Albiriox MaaSが400超アプリを標的にODFと画面制御

Security

Source:https://thehackernews.com/2025/12/new-albiriox-maas-malware-targets-400.html

🛡 概要

新たなAndroidマルウェア「Albiriox」は、マルウェア・アズ・ア・サービス(MaaS)として提供され、オンデバイス不正(ODF)、画面操作、リアルタイムの遠隔介入を可能にします。研究者の報告によれば、銀行、フィンテック、決済、暗号資産、ウォレット、トレーディングなど400超のアプリを標的リストに含み、ドロッパーとパッキングで検知回避しつつ本体を配信します。C2は平文TCPソケットを用い、VNCベースの遠隔操作やアクセシビリティサービスの悪用によりFLAG_SECUREの制限を回避、オーバーレイで認証情報を窃取します。オーストリア向け独語ルアーのSMSや偽PlayストアLPが観測されています。併せて、RadzaRat(擬装ファイルマネージャ型RAT)やBTMOB等のAndroid MaaS/ODF系ツールも活発化が報告されています。

🔍 技術詳細

感染チェーンは、SMS等のソーシャルエンジニアリングで偽のGoogle Play風ランディングへ誘導し、インストールボタンによりドロッパーAPKを取得・実行させる流れです。ドロッパーは更新を装って「提供元不明のアプリ」経由のインストール権限(REQUEST_INSTALL_PACKAGES など)を求め、本体ペイロードを展開。初期広告ではカスタムビルダーが第三者のクリプター「Golden Crypt」と連携し、静的/シグネチャ検知の回避を謳います。C2は暗号化されていないTCPソケットでコマンドを授受し、(1)VNCベースのリモート操作、(2)端末音量の上下やブラック/ブランク画面提示による秘匿実行、(3)機微情報の抽出、(4)オーバーレイでの資格情報窃取を行います。アクセシビリティサービスを利用したストリーミング実装により、FLAG_SECUREにより制限されるスクリーンキャプチャを回避し、UIノードレベルの情報を取得可能です。オーバーレイはシステム更新や黒画面の偽装によりバックグラウンドでの不正操作を隠蔽します。配布手口の一例では、PENNYクーポンを装う偽サイトで電話番号入力を促し、WhatsApp経由の直リンクを送付、入力番号をTelegramボットへ送信する挙動が観測されています。関連動向として、RadzaRatは受信起動ブロードキャスト(RECEIVE_BOOT_COMPLETED等)とBootReceiverで自動起動し、REQUEST_IGNORE_BATTERY_OPTIMIZATIONSでバックグラウンド制限を回避、アクセシビリティ悪用やTelegram C2で監視・遠隔操作を行います。BTMOBはアクセシビリティで端末解除・キーロギング・インジェクション・遠隔操作を実現し、偽「GPT Trade」LP経由で配布例が報告されています。さらに、成人向け誘因サイトを前段に据え、難読化・暗号化を多層適用したマルチステージ配布基盤も確認されており、ロード時間測定等の判定で解析回避を図ります。

⚠ 影響

  • MFA/不正検知のすり抜け: 端末上の正規セッション内で操作されるため、従来のトランザクション監視や端末フィンガープリントが無効化される恐れ。
  • 金融損失とブランド毀損: バンキング/決済/暗号資産アプリでの不正送金・換金。
  • 機密情報漏えい: 連絡先、SMS、通知、キーストローク、画面内容などの収集。
  • 規制/監査リスク: BYODや未管理端末経由での個人データ漏えいに伴う罰則や報告義務。

🛠 対策

  • モバイル管理: Android Enterpriseで「提供元不明のアプリ禁止」「Managed Google Play限定配布」「アクセシビリティ許可アプリの許可リスト化」「SYSTEM_ALERT_WINDOW(オーバーレイ)権限の厳格制御」。
  • ネットワーク防御: DNS/HTTPプロキシで短縮URLドメインの高リスクカテゴリ制御、Telegram関連エンドポイント(例: api.telegram.org)や不審IPへの外向き通信制限、DoT/DoH観測下でのSNI/JA3相関監視。
  • モバイル脅威防御(MTD/EDR): アクセシビリティ有効化事象、ブラックスクリーン提示や画面ストリーミング挙動、未知のインストーラ起点の連続インストール、受信起動レシーバ登録、Ignore Battery Optimizationsの要求などの検知ルール整備。
  • 認証強化: 高リスク取引はデバイス外要素(FIDO2セキュリティキー、別チャネルのトランザクションサイン)を要求。セッション内不正検知(操作生体・UIフロー逸脱検知、オーバーレイ検知SDK)の導入。
  • 啓発/手順: SMS経由のAPK配布や偽PlayストアLPを周知し、インストール前のアプリ真偽確認手順(パッケージ名・開発者・レビューの整合)を徹底。

📌 SOC視点

  • 端末/MDMテレメトリ: Settings.Secure.enabled_accessibility_servicesの変化、未知アプリのBIND_ACCESSIBILITY_SERVICE宣言、SYSTEM_ALERT_WINDOW/REQUEST_INSTALL_PACKAGESの権限付与イベント。
  • 起動/常駐の痕跡: RECEIVE_BOOT_COMPLETED/RECEIVE_LOCKED_BOOT_COMPLETEDを持つ新規パッケージ、Ignore Battery Optimizationsホワイトリスト追加要求。
  • ネットワーク: 平文TCP外向きセッションの新規出現、VNC様の継続的ストリーム、TelegramボットAPIへのHTTP(S)通信、短縮URL経由のリダイレクトチェーン。
  • ユーザ体験異常: 突然のブラック画面、音量挙動の自動変化、バンキングアプリ起動直後のオーバーレイ。
  • ハンティング例: ・新規インストーラ(installer_package≠com.android.vending)かつ同日複数APK導入 ・Accessibilityを要求する非支援系アプリの検出 ・api.telegram.orgへの端末由来通信の急増。

📈 MITRE ATT&CK

  • Initial Access(初期アクセス): ソーシャルエンジニアリング/SMiShing、偽ストアLPからの悪性アプリ配布。根拠: SMS短縮リンクと偽PENNYアプリ事例。
  • Execution(実行): ユーザ操作を装ったドロッパーによるペイロード展開。根拠: 更新偽装でのインストール権限要求。
  • Persistence(永続化): 受信起動ブロードキャスト受領・自動起動、電池最適化回避。根拠: RECEIVE_BOOT_COMPLETED/REQUEST_IGNORE_BATTERY_OPTIMIZATIONS。
  • Privilege Abuse/Defense Evasion(権限/回避): アクセシビリティ悪用、パッキング/クリプティング。根拠: Accessibilityによるノード取得、Golden Crypt連携。
  • Credential Access(認証情報取得): ターゲットアプリ向けオーバーレイ、キーロギング。根拠: 400+アプリのハードコード対象とオーバーレイ攻撃。
  • Command and Control(C2): 平文TCPソケット、Telegramボット利用。根拠: C2仕様と番号送信の観測。
  • Collection(収集)/Discovery: UIノード・画面情報・ファイル探索(RadzaRat)。根拠: VNC/アクセシビリティ・リモートファイル管理。
  • Impact(影響)/Evasion: 黒画面提示・音量制御で秘匿化しつつ不正送金。根拠: 画面偽装と操作隠蔽。

🏢 組織規模別助言

  • 小規模(〜50名): BYODポリシーの明文化、Managed Google Play限定、MTDの軽量導入(クラウド型)。SMSリンク対策の啓発キット配布。
  • 中規模(50〜500名): Android Enterprise(Work Profile/COPE)でのアクセシビリティ/オーバーレイ許可リスト、DNSフィルタリング、Telegram・短縮URLカテゴリの制御、モバイル用SOARプレイブック整備。
  • 大規模(500名〜): モバイル脅威インテリジェンスとEDRの相関分析、取引保護SDK(オーバーレイ/操作生体検知)の採用、ゼロトラスト下でのモバイル姿勢評価(MAM/CIEM連携)、金融機関連携によるリスクベース認証の強化。

🔎 類似事例

  • Vultur: VNC様の画面ストリーミングとアクセシビリティ悪用でFLAG_SECUREを回避。
  • SharkBot / TeaBot(Anatsa)/ Xenomorph / Octo(ExobotCompact)/ BRATA: ODF系の代表的バンキング型、オーバーレイやアクセシビリティ悪用が共通。
  • RadzaRat: ファイル管理アプリに偽装し、アクセシビリティとTelegramで監視・操作。
  • BTMOB & UASecurity Miner: 偽「GPT Trade」LP経由で配布、アクセシビリティ乱用と永続化モジュール。
  • 成人向け誘因の多段配布ネットワーク: 難読化・暗号化を多層適用し解析回避。
  • 関連CVE/CVSS: 本件は主に機能・設計の悪用であり、特定CVEやCVSS公開は現時点で確認できていません。

🧭 次の一手

まずは管理対象Androidで(1)提供元不明アプリの禁止、(2)アクセシビリティ許可アプリの棚卸しと是正、(3)Telegram/短縮URL等のドメイン制御を即時実施。次に、モバイルEDRへ「インストーラがPlay以外」「新規Accessibility有効化」「受信起動レシーバ登録」の検知ルールを追加し、過去30〜90日の遡及検索を行ってください。金融関連アプリには取引サイン/オーバーレイ検知SDKの導入を検討しましょう。CVSSがないため、リスクは行為ベースで評価し、ODF対応の不正検知を優先度高で強化してください。