AndroidドロッパーでSMS窃取とRAT化、Telegram連携の拡大 - SecureShield セキュリティニュースまとめ

Source:https://thehackernews.com/2025/12/android-malware-operations-merge.html

🛡 概要

中央アジアを狙うモバイル詐欺が高度化している。正規アプリに見せかけたドロッパーが、オフラインでも展開可能な暗号化ペイロードを端末内に配布し、SMS窃取を主眼とするAndroidマルウェア「Wonderland（旧称WretchedCat）」を導入。双方向C2でリアルタイム操作（USSD実行、SMS傍受・送信、通知隠し等）を行い、ワンタイムパスワード（OTP）を盗み資金詐取に繋げる。運用は金銭目的の「TrickyWonders」グループがTelegramで調整し、作成用ボット・アフィリエイト（workers）・検証担当（vbivers）など役割分担でスケールする。さらに、CellikやFrogblight、NexusRouteといった新系統も登場し、技術力の乏しい攻撃者でも大規模キャンペーンが可能になっている。なお本件は脅威活動であり、脆弱性（CVE）やCVSSの対象ではない。

🔍 技術詳細

・初期侵入と拡散：偽のGoogle Playストア風サイト、SNS広告、出会い系・メッセージングアプリ経由でドロッパーAPKを配布。ユーザーには「アップデートが必要」といった画面で不明ソースからのインストールを有効化させる社会工学が用いられる。Uzbekユーザーから窃取したTelegramセッションを悪用して、連絡先にAPKを再配布する循環感染も観測される。
・ドロッパー構造：表面上は無害な正規アプリや動画・写真・招待状に偽装。内蔵の暗号化ペイロード（Wonderland）をローカルに展開し、ネット接続が乏しい環境でも感染を成立させる。近年は「MidnightDat（2025-08-27確認）」「RoundRift（2025-10-15確認）」といったドロッパーファミリが担い手とされる。
・権限と機能：SMS/連絡先へのアクセス、OTP傍受、端末番号取得、通知の不可視化（セキュリティ通知やOTPの隠蔽）、任意SMS送信（横展開）、USSDリクエストの実行、双方向C2によるコマンド実行。Telegramに登録された電話番号の乗っ取り試行も報告される。C2はビルドごとに異なる短命ドメインを使い分け、テイクダウン耐性とブラックリスト回避性を高める。ドロッパー/本体とも難読化と各種アンチ解析を備え、静的・動的解析の工数を増大させる。
・運用基盤：Telegramボットでビルド生成、各ビルドに専用C2ドメインを割当。アフィリエイトが被害金から分配を受ける形で拡散を担い、所有者・開発者・検証役を含む階層的な運営となっている。
・近縁脅威：Cellikはダークウェブで月額/買切り販売され、画面配信、キーロギング、カメラ/マイク制御、通知傍受、隠しブラウジング、オーバーレイなどRAT機能を提供。正規Google Playアプリへワンクリックでペイロードをラップするビルダーが特徴。Frogblightはトルコで裁判通知を騙るSMSフィッシングを介し、WebViewでバンキング情報を窃取、SMS・通話履歴・インストールアプリ・ファイル情報の収集、連絡先操作や任意SMS送信も可能。運用パネルの存在や鍵管理からMaaS化の準備が示唆される。NexusRouteはインドで政府機関を装うフィッシングポータルを用いる事例が報告されている。

⚠ 影響

・個人/企業：SMSベースの二要素認証突破、銀行口座からの不正送金、メッセージアプリ乗っ取りによる連絡先への拡散、顧客・従業員へのなりすまし詐欺。
・組織：BYODからの認証情報流出、SMS依存MFAの回避、端末からの機密データ漏えい、ブランド毀損。
・地理的観点：ウズベキスタンやトルコ、インドなど地域特化の誘導文脈が多く、現地言語と文化的文脈に合わせた社会工学が効果を高めている。

🛠 対策

・モバイル管理：Android Enterprise/EMMで「不明ソースからのインストール」禁止、アプリ許可リスト、SMS/通知リスナー/オーバーレイ権限の厳格制御。Play Protectおよび企業向けモバイル脅威防御（MTD）を有効化。
・認証強化：SMS依存のMFAを縮退し、FIDO2/認証アプリ/プッシュ承認へ移行。メッセージアプリ（例：Telegram）は二段階認証パスワードとデバイス確認を必須化。
・ユーザー教育：偽のアップデート画面、裁判通知や政府通知を装うSMS、外部配布APKの危険性を啓発。
・開発/監査：受領APKは静的・動的解析で難読化・ドロッパー挙動・C2ドメインの個別割当を確認。DNS監視で短命ドメインの連続解決を検出。
・インシデント対応：感染端末の隔離・企業データ初期化、銀行/サービス事業者への連絡、すべてのセッション・トークン失効、SMSからMFA方式の切替。

📌 SOC視点

・デバイス/EMMログ：不明ソース許可の有効化イベント、Package Installer経由の手動インストール、許可リスト外アプリの権限（SMS/通知リスナー/オーバーレイ）要求、既定SMSアプリ変更試行、異常なSMS送信量。
・ネットワーク：短期間でのC2ドメイン切替やSNIの頻繁な変化、画面消灯中の継続的外向き通信、地域外ASNへのPOST。
・アプリ挙動監視：通知の自動消去、連絡先の大量読み取り、USSD発呼に伴うダイヤラ起動Intent痕跡、メッセージアプリのセッション再利用。
・ハンティング：端末からの連絡先→SMS送信のスパイク、偽Play系ドメインへのアクセス、短命TLS証明書の連続利用、同一端末から多国同時ログイン試行（メッセージングアカウント）。

📈 MITRE ATT&CK

・Initial Access（モバイル）：悪性アプリ配布/サイドローディング。本文の偽PlayページやSNS広告、メッセージ配布が該当。
・Execution/Command and Control：双方向C2でリアルタイム命令（USSD等）。Wonderlandの双方向通信記述が根拠。
・Credential Access/Collection：SMS/OTPの窃取、連絡先・端末情報収集。Cellikのキーロギング/オーバーレイ、FrogblightのWebView窃取が対応。
・Defense Evasion：正規アプリ偽装、難読化、通知隠し、短命ドメインのローテーション。
・Lateral Movement/Impact：感染端末から任意SMS送信で拡散、資金詐取。
・Persistence：権限付与とサービス常駐による生存性確保。

🏢 組織規模別助言

・〜50名（小規模）：Android Enterprise Essentialsや端末管理機能でサイドロード禁止、許可リスト運用。SMSから認証アプリへ移行。月次で端末の権限レポート確認。
・50〜500名（中規模）：EMM（Intune等）で権限制御テンプレート、MTD連携、DNSフィルタで短命ドメイン遮断。フィッシング演習はSMS/メッセンジャー題材を含める。
・500名以上（大規模）：ゼロトラスト（端末健全性判定でアクセス制御）、Threat IntelでC2回転ドメインを継続ブロック、SOCでモバイル特化プレイブック（隔離→ワイプ→セッション失効→MFA切替）を常設。

🔎 類似事例

・Ajina.Banker：初期のスパム主体バンキング型。
・Qwizzserial：メディアファイル偽装の難読化系。
・Cellik：RAT機能とワンクリック正規アプリラップ。
・Frogblight：SMSフィッシングとWebViewでの認証情報窃取、MaaS化準備。
・NexusRoute：政府機関偽装ポータル経由の拡散。