高齢者向けFacebook グループでマルウェアを拡散-端末乗っ取り、資金詐取まで|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年10月03日更新日時: 2025年10月03日

2025年8月、オーストラリアを中心に「アクティブシニア向け旅行」やダンス交流会を装う Facebook グループへの注意喚起が相次ぎました。

ThreatFabric の調査によれば、これらは複数の地域（シンガポール、マレーシア、カナダ、南アフリカ、英国など）を狙った同一系統のキャンペーンで、最終目的は新種の Android 向けデバイス乗っ取り型トロイの木馬(マルウェア) 「Datzbro」 の感染でした。見かけは地域コミュニティアプリの登録ですが、

実態はリモート操作・監視・認証情報窃取まで兼ね備えたスパイウェア／バンキング型トロイの木馬のハイブリッドです。さらに、C2（指令サーバ）用デスクトップアプリとビルダーがリークしており、世界中の攻撃者に再利用されやすい状態になっていることも判明しました。

1 入口は「地域の集い」告知文は生成AIで作成
2 遠隔操作マルウェア-Datzbro とは
3 中国語の開発痕跡、C2 デスクトップアプリのリーク
4 典型的な攻撃の流れ
5 防御と対応——個人・金融機関・企業それぞれの備え
6 主要 IoC（抜粋）

入口は「地域の集い」告知文は生成AIで作成

ThreatFabric 調査チームは、AI生成の写真や告知文で埋め尽くされた多数の Facebook グループを確認しました。

参加者募集に反応したユーザーには、Messenger や WhatsApp 経由で「登録用アプリ」のダウンロードリンクが送られ、場合によっては参加費の支払いも促されます（この時点でクレジットカード情報のフィッシングが発生）。

偽サイトには「iOS アプリ」ボタンもありますが、調査時点ではダミーで、将来的にWebClip/TestFlight を悪用したなりすましや支払い情報の入力ページに差し替える余地が指摘されています。問題は 「Google Play」風ボタンで、これを押すと APK の直接ダウンロードが始まり、Android 13+ の制限回避用ドロッパー「Zombinder」経由での導入ケースも確認されました。

遠隔操作マルウェア-Datzbro とは

ThreatFabric は、サンプル内の文字列から本マルウェアを Datzbro と命名しました。特徴は次のとおりです。

遠隔操作／画面共有
端末画面のライブ共有とリモート操作を実装。Android の ユーザー補助（Accessibility）権限を基盤に、タップ・スワイプ、ホーム／戻るなどのグローバル操作を代行します。
- 「ブラックオーバーレイ」：被害者画面を“真っ黒”に見せかけ、操作の痕跡を隠します。攻撃者側には半透明で見え続けるため、被害者に悟られずに作業可能。表示テキストや透明度は任意設定できます。
- 「スキーマティック（schematic）モード」：Accessibility イベントから得た UI 要素（位置・文言）だけで画面の骨組みを再現し、映像品質が悪い／オーバーレイ中でも、見えない画面を“設計図”で操作できます。
スパイウェア機能
カメラ撮影・音声録音・写真やファイルの収集・SMS/連絡先の閲覧・アプリ一覧と起動／アンインストールなど、広範囲の監視と情報持ち出しに対応します。
金融詐取に直結する実装
- パスワードだまし取り画面（フェイク画面）：
  端末 PIN/パターン/パスワードに加え、Alipay（com.eg.android.AlipayGphone）や WeChat（com.tencent.mm）のログイン入力を装う画面を提示し、本人に自ら入力させて窃取します。
- アクセシビリティログの“金融特化フィルタ”：
  イベントの パッケージ名に「bank」「pay」「alipay」「wechat」「wallet」「finance」、テキストに「password」「pin」「code」「验证（検証）」「验证码（認証コード）」などが含まれるかを判定し、銀行・決済・暗号資産関連の入力やワンタイムコードを狙い撃ちします。キーログと組み合わせてモバイルバンキング資格情報の取得を目指す、明確な“金銭目的”の設計です。

中国語の開発痕跡、C2 デスクトップアプリのリーク

コード内のデバッグ文字列には中国語が多く、サンプル名に 「最强远控.apk（最強リモコン）」といった表記も確認されました。

加えて、一般的なウェブパネルではなくデスクトップ型の C2 アプリが使われ、C2 アプリのコンパイル済み実行ファイルとビルダーが外部に流出している事実が判明しています。これは再犯・再利用のハードルを極端に下げるため、当初は中国語圏を狙った痕跡がある一方、現在は世界規模で模倣・横展開される脅威へと変質しています。

典型的な攻撃の流れ

Facebook グループで「シニア向け旅行・交流会」などの募集を表示（AI生成の写真・文言）。
反応したユーザーに Messenger/WhatsApp で個別連絡し、登録アプリ（APK）を案内。
偽サイトの「Google Play」風ボタンから APK を直配布（一部は Zombinder で 13+ 制限回避）。
インストール後、Accessibility 権限や画面共有権限を獲得。
ブラックオーバーレイで痕跡を隠しつつ、スキーマティックで UI を把握し遠隔操作。
資格情報（PIN/決済アプリ）や SMS 認証コードを奪取、送金・アカウント乗っ取りへ。

防御と対応——個人・金融機関・企業それぞれの備え

個人（特にシニアやそのご家族）のかた

アプリは公式ストアのみ。ブラウザ経由の APK（拡張子 .apk）は入れないでください。
「ユーザー補助（Accessibility）」や「画面のキャスト・録画」権限要求に注意。用途が不明なら許可しないのが原則です。
Facebook のイベント案内は、主催者情報・開催実績・連絡先を確認。事前の参加費請求や個別の銀行情報入力は避けてください。
少しでも不審なら、家族や身近な人に相談し、端末はモバイルセキュリティでスキャン、Google Play プロテクトを有効化します。

金融機関・フィンテック

モバイル行動分析（MBA）で オーバーレイ・アクセシビリティ操作・リモート制御の兆候を検知。
MFA のプッシュ疲労対策と、高リスク操作時の追加確認（取引遅延・発信確認）。
モバイル SDK 側でのルート検知・不正ツール検知を導入し、API は デバイスバインディングや mTLS で絞り込み。
監視対象に 本稿 IoC の組み込み（ハッシュ・パッケージ名など）と、コールセンターへの注意喚起スクリプト整備を行います。

企業（MDM/EDR を持つ組織）

不明出所の APK 禁止を MDM でポリシー化。Accessibility 権限の乱用を検知・アラート。
端末からの 画面共有・録画 API 連続利用や SMS 収集の異常を UEBA で可視化。
ネットワークは C2 宛の通信をブロックし、ログに残る UI 自動化系イベントも相関分析します。

主要 IoC（抜粋）

SHA-256 / パッケージ名 / 表示名
- a57d70b2...74bf0feb / twzlibwr.rlrkvsdw.bcfwgozi / Senior Group
- 453b0a62...8834c555 / orgLivelyYears.browses646 / Lively Years
- ed2313bf...d6a0b9fb / com.forest481.security / ActiveSenior
- fac119c5...dfc2a11a / inedpnok.kfxuvnie.mggfqzhl / DanceWave