ヒューマン・セキュリティーのサトリ研究チームは、遠隔操作可能なマルウェア「Badbox」の新しい亜種を発見し、感染したAndroidデバイスが100万台に達し、大規模なボットネットを形成していると発表した。
情報セキュリティ組織は2023年に最初のBadboxの感染を確認しました。Apple TV、Roku、Amazon Fire Stickなどの模倣品である、偽ブランドのAndroid搭載インターネット接続テレビデバイスが、Peachpitと呼ばれる巨大な広告詐欺ネットワークに関与するマルウェアに汚染されていることを発見したのです。最初のBadboxクラスターには約7万4000台のデバイスが関与していました。
Badbox 2.0 はどうやら再び Android をターゲットにしているようですが、今回はベースとなる Android Open Source Project (AOSP) を実行するハードウェアがターゲットとなっており、安価な非ブランドの携帯電話、より多くのネット接続 TV ボックス、車内での使用を目的としたタブレット、デジタル プロジェクターなどで確認されています。
ヒューマン・セキュリティの最高情報セキュリティ責任者(CISO)であるギャビン・リード氏は、The Registerに対し、ボットネットの管理者はサプライチェーンに介入して安価なハードウェアを購入し、バッジを貼り替え、ファームウェアかユーザーが頻繁に使用する可能性のあるアプリに悪質なコードをインストールし、汚染された製品を転売することで、悪質なソフトウェアを拡散させることがある、と語った。
ヒューマンセキュリティの研究者らは、ボットネットに関与するマルウェアに感染した200本以上のアプリを発見したと発表しました。これらのアプリはすべてサードパーティのAndroidアプリストアでホストされていました。そのほとんどは、Google Playストアに提出された正規のプログラムの「偽物」です。正規アプリが登場すると、犯罪者はマルウェアを仕込んだ非常に類似したパッケージを作成し、サードパーティのソフトウェアマーケットで公開します。発展途上国で大きなシェアを占めるサードパーティアプリストアのユーザーは、騙されてこれらの偽物をダウンロード・インストールしてしまうのです。
「Badbox 2.0の計画は、標的のデバイスの種類の増加、感染したデバイスの数、実行される詐欺の種類、計画の複雑さの点で、2023年に見られた計画よりも規模が大きく、はるかに悪質です」とリード氏は述べた。
また、これは犯罪者同士の共謀の結果である可能性もある。Satori の研究者は、それぞれが Badbox 活動の異なる側面を実行していると考えられる 4 つの犯罪者グループを特定した。
- PEACHPIT広告詐欺キャンペーンで中国のスマートテレビボックスがマルウェアに感染
- なぜ私のMitelの携帯電話が知らない人にDDoS攻撃を仕掛けているのか? ああ、新しいMiraiボットネットに巻き込まれたんだ
- FBI、アメリカのWindows PC数千台から中国製PlugXマルウェアを削除
- ランサムウェア犯罪者はCISAのKEVリストを好んで利用しているが、これは機能ではなくバグである。
感染したデバイスはすべて中国製で、昨年の秋に2.0ボットネットが初めて発見されて以来、これらのデバイスで実行されるマルウェアは222の国と地域(国連は248を認定)からネットワークトラフィックを生成している。
ネットワークボットネットは、ユーザーには見えないものの、広告主にはユーザーが目にしているという情報を伝える隠し広告で収益を得ています。広告クリック詐欺もまた、この手の手口の一つです。
ヒューマン・セキュリティの脅威インテリジェンス担当バイスプレジデント、リンジー・ケイ氏は、ボットネットの運営者は不正行為を巧妙に隠蔽していると指摘する。正規の広告ネットワークであれば、中国のような国で大量の広告表示やクリックを検知すると警告を出す。そのため、世界中のインターネット接続端末で不正行為が行われた場合、発見・ブロックはより困難になる。
「中国のサーバーから送られてくるデータなら、広告詐欺として送られてくるデータをすべて検知するのは非常に簡単でしょう?どれも良いものではありません」と彼女は語った。
「しかし、もしあなたが99.9%のトラフィックが正当な住宅からアクセスしているとして、彼ら(ボットネット運営者)は、少しの間だけボットネットを有効化し、少しだけ広告詐欺を行い、その後、別の誰かに切り替えます。彼らはこれを巧みに利用することで非常に効果的に活動し、ほとんどの企業が詐欺防止のために導入している多くの対策を回避できるのです。」
Satori は、マルウェアが感染したハードウェアに入力されたパスワードを盗んでいるという証拠も発見しました。
こんなものをお持ちですか?今こそ電源プラグを抜く良いタイミングかもしれません…ヒューマン・セキュリティによる感染の可能性があるデバイスの例
(クリックして拡大)。出典:ヒューマン・セキュリティ
このボットネットはサービス拒否攻撃に利用される可能性もあるが、そうすることで好ましくない注目を集めることを運営者は知っており、だからこそ静かに控えめな詐欺行為を行っているとリード氏は考えている。
Badbox 2.0はピーク時には100万台近くのデバイスに感染しましたが、Human Security、Google、トレンドマイクロ、そして非営利団体Shadowserver Foundationの活動により、感染台数は半減しました。これらの関係者は、乗っ取られたデバイスへの指令サーバーを特定し、シャットダウンする活動を行いました。Googleは不審なAndroidトラフィックを監視し、Human Securityはこれらのデバイスから発生する広告詐欺について企業に警告を発しました。
もう一つの朗報は、感染が早期に発見されたようだということです。ケイ氏は、マルウェアのモジュールを調べたところ、多くのモジュールに「テスト」とマークされており、ボットネットがまだ初期段階にあったことを示していると指摘しました。
しかし、彼女は、Badbox 2.0 の背後にいる犯罪者が、研究者が最初の Badbox ネットワークを発見した後と同じように、行動を変えることで悪のネットワークを復活させ、活動を隠そうとする可能性が高いと感じています。®
ボトムノート
デバイスに感染するバックドアマルウェアといえば、新たに発見された Eleven11bot は、何千ものガジェットを乗っ取った Mirai の亜種のようで、HiSilicon ベースのハードウェアをターゲットにしているようです。
