近年、Androidマルウェアの進化が著しく、その脅威は企業や一般ユーザーの両方に拡大しています。スイスのサイバーセキュリティ企業PRODAFT「AntiDot」は、マルウェア・アズ・ア・サービス(MaaS)として販売されている高度なボットネット型マルウェアであり、情報システムやセキュリティ部門にとって非常に警戒すべき存在です。
MaaS(マルウェア・アズ・ア・サービス)とは?
MaaSとは「Malware as a Service」の略で、マルウェアをサービスとして提供するサイバー攻撃の手法です。従来は自作のスキルが必要だったマルウェアの作成や配布、C2(コマンド&コントロール)インフラの構築、被害端末の管理などが、誰でも「サービス契約」を通じて利用可能になります。
この仕組みにより、技術的な知識を持たない犯罪者でも、洗練された攻撃を容易に実行できるようになります。サイバー犯罪の「民主化」とも言えるこのMaaSモデルは、組織的犯罪や標的型攻撃の拡大を後押ししており、セキュリティチームにとっては深刻な脅威です。
AntiDotはこのMaaSモデルに完全に合致しており、攻撃者にとって「すぐに使える攻撃プラットフォーム」として完成度が高いツールになっています。
使い勝手と実用性を重視した設計
AntiDotの特徴は、とにかく「使いやすさ」にフォーカスしていることです。例えば、アクセス権限の取得からボット機能の展開までが非常にスムーズに行えるように設計されています。正直、悪用する側の視点に立つと「よくできている」と感じざるを得ません。
主な機能は以下のとおりです
-
アクセシビリティ機能を悪用した画面録画・インターフェース模倣
-
オーバーレイ攻撃によるアプリ認証情報の窃取
-
SMS傍受、通知の隠蔽、通話情報の操作
-
WebSocketを使ったリアルタイムなC2制御
-
感染端末の完全な遠隔操作(画面操作・情報収集・アプリ管理など)
感染状況と配布手法
調査では、少なくとも11のC2サーバーが稼働し、3,775台以上のデバイスが感染。273件以上のキャンペーン名が確認されており、その多くは自動生成された命名規則を持っています。
主な配布手法は以下のとおりです
-
マルバタイジング(悪質な広告ネットワーク)
-
地域と言語を特化したフィッシング攻撃
C2は言語・地域ごとにセグメントされ、たとえばロシア語圏、中国語圏、アジア圏など、標的に応じて異なるテンプレートを用意して展開しています。
関連記事
偽のハムスターコンバットでマルウェア配布を確認
GeoServerの脆弱性(CVE-2024-36401)を悪用したマルウェア攻撃が観測される
台湾政府に関連する研究機関へ中国のハッカー集団APT41が不正アクセス
Azure ネットワーク サービスタグで脆弱性が発生 悪用の可能性
Lummaマルウェアネットワークを摘発、司法省とMicrosoftがドメインを押収
偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング
Linuxのマルウェア「DISGOMOJI」はDiscordの絵文字でC2サーバーを制御する
サイバー攻撃集団 ロックビット(LockBit)とは?
AT&Tが契約する「Snowflake」から大規模データ侵害 約1億900万人の顧客の通話記録が漏洩
