Source:https://thehackernews.com/2025/12/android-malware-fvncbot-seedsnatcher.html
🛡 概要
Intel 471、CYFIRMA、Zimperiumの各研究者が、Android向けの新たなマルウェア FvncBot と SeedSnatcher、さらに機能拡張された ClayRat を報告した。FvncBotはポーランドのモバイルバンキング利用者を狙い、アクセシビリティサービス悪用やHVNC、Webインジェクション、スクリーン配信などを備える。SeedSnatcherは暗号資産ウォレットのシードフレーズ窃取に特化し、SMSの2FAコードも奪取。ClayRatはアクセシビリティとSMS権限を組み合わせ、画面録画・キーログ・オーバーレイ詐取・通知収集・自動ロック解除まで可能な、より危険なスパイウェアへと進化した。CVSSの公表はなく、既知CVEの悪用は確認されていない(権限・機能悪用型)。
🔍 技術詳細
FvncBotはmBank由来を装うセキュリティアプリとして偽装し、他系統のリークコードに依存せず一から実装された点が特徴。起動直後に Google Play コンポーネントの導入を促す挙動を見せるが、実際には埋め込みのFvncBotペイロードをセッションベース手法で導入し、Android 13以降のアクセシビリティ制限を回避する狙いがある。暗号化・難読化には Golden Crypt が提供する apk0day のクリプティングサービスが使われ、ドロッパはローダとして機能する。稼働中は naleymilva.it.com へログイベントを送信し、ビルドID call_pl によりポーランドを標的とする設定が示唆された。許可要求でアクセシビリティ権限を取得すると、HTTP経由で外部C2に登録し、Firebase Cloud Messaging(FCM)でコマンド配送を受ける。機能面では、WebSocketでの遠隔操作(タップ/スワイプ/スクロール)、アクセシビリティイベント・端末情報・インストールアプリ一覧の流出、対象アプリ上への悪性オーバーレイ表示と隠蔽、キーストローク記録、MediaProjection API を悪用した画面ストリーミング、FLAG_SECUREが設定された画面でもレイアウトや文字列を抽出できるテキストモードなどを備える。配布手口は未解明だが、一般にこの種のバンキング型はSMSフィッシングやサードパーティストアを用いる例が多い。
SeedSnatcherはTelegram上で Coin として拡散され、暗号資産ウォレットのシードフレーズ盗難に主眼を置く。最小限の実行時権限(SMSなど)から開始し、後にファイルマネージャ・オーバーレイ・連絡先・通話履歴等へ権限を段階的に拡大する戦術をとる。検出回避のため動的クラスロード、ステルスなWebViewコンテンツ注入、整数ベースのC2命令を採用。着信SMSの傍受による2FAコード奪取、デバイスデータや各種ファイルの窃取、フィッシングオーバーレイによる機密入力の詐取が可能。配布・運用上の中国語資料やパネル表記から、中国在住または中国語話者の関与が示唆される。
ClayRatはアクセシビリティ悪用と既定のSMS権限を組み合わせ、キーロギングと画面録画、持続的なオーバーレイ(例: システム更新画面を装い活動を隠蔽)、偽のインタラクティブ通知でユーザ応答を収集するなど、端末の実質的な乗っ取りを可能にした。PIN/パスワード/パターンの自動解除、通知収集、ロック解除後の操作自動化など、以前より攻撃面が拡大。YouTubeのPro版を騙る25のフィッシングドメイン経由の拡散が確認され、ロシアのタクシー/駐車アプリを装うドロッパも観測されている。
⚠ 影響
- 金融詐欺: バンキングアプリへのオーバーレイ詐取、HVNCやWebインジェクションによる不正送金
- アカウント乗っ取り: SMS 2FAの盗聴と通知収集、キーログによる認証情報窃取
- 端末支配: アクセシビリティ権限の濫用により操作自動化、画面/入力監視、永続化
- プライバシ侵害/情報漏えい: 連絡先・通話履歴・ファイル・アプリ一覧・端末情報の外送
CVSS: 公開値なし(既知CVEの悪用は未確認、主に権限・機能の悪用)。
🛠 対策
- Android Enterprise/MDM: 企業端末は未知の提供元からのアプリインストールを禁止。Google Play 管理配信で許可リスト制御。アクセシビリティ権限は管理対象アプリのみに限定。
- 認証強化: SMSベース2FAの廃止を段階導入し、TOTP/プッシュ通知/FIDO2へ移行。金融/管理系は必須化。
- モバイル脅威防御(MTD): オーバーレイ/MediaProjection/Accessibility/BIND権限の異常要求、FCMトークン悪用、WebSocket常時接続を検知。
- ネットワーク防御: DNS/HTTPで C2・フィッシングドメイン(例: naleymilva.it.com)をブロック。モバイル向けセキュアDNSとTLS SNI監視を適用。
- ユーザ教育: オーバーレイの急な出現、偽のGoogle Playコンポーネント誘導、Telegram配布アプリに注意する行動訓練。
- IR手順: 兆候検知時は端末隔離→アカウントトークン失効→パスワード/銀行認証情報の再発行→端末初期化→再登録。
📌 SOC視点
- 権限イベント: BIND_ACCESSIBILITY_SERVICE、SYSTEM_ALERT_WINDOW、READ_SMS、BIND_NOTIFICATION_LISTENER_SERVICE の新規付与と高頻度利用
- API痕跡: MediaProjection の画面キャプチャ要求、オーバーレイ描画の連発、AccessibilityEvent の大量生成
- 通信: FCM登録/メッセージ頻度の異常、HTTP/WSの長寿命セッション、宛先に naleymilva.it.com 等が含まれないか確認
- アプリ監視: 金融アプリ起動直後のオーバーレイ描画、インストールアプリ一覧の外送挙動
- 端末ふるまい: 自動タップ/スクロールの連続、スクリーンロック直後の解除試行
検知ヒント: MTD/EDRでの振る舞い連関検知(アクセシビリティ有効化→オーバーレイ→MediaProjection→WebSocket接続の連続)。SIEMでは端末管理ログとモバイルプロキシ/DNSを相関。
📈 MITRE ATT&CK
- Initial Access: 悪性アプリ(Telegram/偽アプリ/サードパーティ配布)
- Execution/Privilege Abuse: アクセシビリティサービスの悪用で入力/操作を乗っ取り
- Defense Evasion: クリプティング/難読化(apk0day)、動的クラスロード、FLAG_SECURE回避のテキストモード、ステルスWebView注入
- Discovery: 端末情報・インストールアプリ列挙
- Credential Access: キーロギング、オーバーレイによる認証情報/シードフレーズ詐取、SMS 2FA傍受
- Collection: MediaProjectionで画面録画、通知収集、アクセシビリティイベント収集
- Command and Control: FCMでのコマンド受信、HTTP/WebSocketでC2通信、セッションベースの権限回避フロー
- Exfiltration: HTTP/WS経由でのデータ外送
- Impact: HVNCとWebインジェクションによる金融詐欺とアカウント乗っ取り
根拠: 研究各社の分析により、FCM/HTTP/WSのC2、Accessibility/MediaProjection/オーバーレイ/SMS傍受など具体的挙動が確認されている。
🏢 組織規模別助言
- 小規模(〜50名): BYODは業務アプリを限定し、認証はFIDO2へ。モバイル向けDNSフィルタとMTDの軽量プランを導入。銀行/管理ポータルはSMS 2FA禁止。
- 中規模(50〜500名): Android Enterpriseのデバイスオーナー運用、許可リスト化、アクセシビリティ権限の制限ポリシー、SIEM相関でMTD/IDPのイベント連携。詐欺対策の緊急連絡網を整備。
- 大規模(500名以上): MAM/MDM/MTDの統合、私物端末は業務コンテナ化。モバイルCI/CDの署名・整合性検証、リスクベース認証、ゼロトラストの継続的評価を適用。
🔎 類似事例
- ERMAC、Xenomorph、SharkBot、Octo/ExobotCompact、TeaBot/Anatsa、BrasDex(HVNC)
- Albiriox(類似の保護・配布戦術)
- CVE該当: なし(機能悪用でOS脆弱性エクスプロイトは未確認)
🧭 次の一手
まずはモバイル端末のアクセシビリティ/オーバーレイ/SMS権限の棚卸しと、MDMでの制御強化を実施。次に、SMS 2FAからFIDO2/TOTPへの移行計画を策定。SOCはFCM/WS/MediaProjection/Accessibilityの相関検知ルールを追加し、C2・フィッシングドメインのブロックを即時反映。インシデント対応手順を更新して、端末隔離と認証情報ローテーションを標準化する。
