マルウェア技術が発展するにつれて、ハッキングの現場に参入したい人々に悪意のある攻撃者が提供するサービスも発展しています。悪意のある攻撃者があなたのデバイスにマルウェアを忍び込ませたい場合、その目標を達成するためにサービスとしてドロッパーを提供する人を雇うかもしれません。
そこで、サービスとしてのドロッパーとは何か、そしてそれを回避する方法について説明しましょう。
ドロッパーとは?
ドロッパーは、一見無害なように見えますが、その中には不快な驚きが隠されたトロイの木馬の一種です。トロイの木馬は、ユーザーやシステムを騙して自分たちは無害であると思わせるという特別な特徴を共有しています。それが、歴史上の有名なトロイの木馬にちなんで名付けられた理由です。
ドロッパー自体は、悪意のあるコードを含んでいません。つまり、誰かがドロッパー プログラムをウイルス対策でスキャンしても、悪意のあるものとしては表示されません。この段階では、ドロッパー プログラムはユーザーの PC に自身を確立しようとし、特定のサービスやファイルへのアクセス権を要求します。
ユーザーはドロッパー ソフトウェアが無害であると信じているため、ドロッパー マルウェアに自分が望むものへのアクセスを許可します。これが起こると、ドロッパー マルウェアは第 2 段階に移行し、マルウェア ダウンロード サーバーに接続します。そして、新しく与えられた権限を使用して疑いや検出を回避し、ターゲット システムにマルウェアをインストールします。
この種のマルウェアについてさらに詳しく知りたい場合は、トロイの木馬のドロッパーとは何かを確認してください。
「サービスとしてのドロッパー」とは?
サービスとしてのドロッパーは、悪意のある攻撃者が闇市場で販売するより大規模なサービスの一種です。マルウェアの世界では「サービスとしての」という接尾辞を聞いたことがあるかもしれません。これは、ランサムウェア・アズ・ア・サービスなどの用語で使用されています。
この場合、サービスとしてドロッパーを提供する人は、ドロッパーのプログラミングに優れており、闇市場に自分の専門知識を提供したいと考えているからです。彼らの顧客基盤は、ペイロードを設計したが、それを人々のデバイスに導入するのに助けが必要なマルウェア開発者です。これらの開発者は、ドロッパー プロバイダーにマルウェアをウイルス対策ソリューションで回避してもらいます。
ドロッパー サービスは、闇市場で非常に安く購入できます。The Register のあるレポートでは、ドロッパー サービスは 1,000 回のマルウェア配信に対して 2 ドルを請求しているとされており、これはマルウェアを開発して何らかの方法でその被害者からお金を引き出す人にはわずかなお金です。
ただし、「サービスとしての」で終わるものがすべて悪いわけではないことに注意することが重要です。たとえば、サービスとしてのAIにより、企業やクライアントは悪意のない目的で私たちのソリューションを雇用することができます。
サービスとしてのドロッパーの例: SecuriDropper
サービスとしてのドロッパーがどのように機能するかをよりよく示すために、実際の例を見てみましょう。SecuriDropper は、Android フォンを標的にし、ドロッパー方式を使用してマルウェアに感染させる特に悪質なドロッパーの亜種です。
Bleeping Computer が報じているように、SecuriDropper は Android 14 の特定の防御を回避するように設計されています。公式の Google Play ストア以外のアプリをインストールしようとすると、アクセシビリティ設定などの携帯電話のより機密性の高い機能にアクセスできなくなります。
これを回避するため、マルウェア開発者は、無害に見えるアプリに SecuriDropper を追加し、サードパーティの Web サイトにアップロードできます。SecuriDropper を含む一部のアプリは、一般的に使用されているアプリとして偽装しています。1 つは Google 翻訳を装っていることが判明しました。アプリには悪意のあるコードが含まれていないため、ウイルス対策スキャンでフラグが立てられることはありません。
その後、被害者はアプリをダウンロードしてインストールを試みます。インストール中、アプリは携帯電話のストレージにアクセスする権限を求めます。許可されると、アプリはインストールが失敗したと主張する偽のエラー メッセージを表示します。次に、ユーザーにボタンが表示され、それを押すとアプリが再インストールされると主張します。
ユーザーがボタンを押すと、ドロッパーはマルウェア ダウンロード サーバーに信号を送信してペイロードをインストールします。ユーザーがアプリに携帯電話のストレージを使用する権限を与えたため、ドロッパーは特定の方法でマルウェアをインストールして、Android 14 がそれをサードパーティのソースからのアプリとして識別できないようにすることができます。
これにより、アプリは通常サードパーティのアプリには許可されない権限を要求できるようになります。そして、ユーザーがそれらを受け入れると、マルウェアはその計画を進めるために必要なすべての権限にアクセスできるようになります。
SecuriDropper は、あらゆる種類のマルウェアをドロップしたとして責任を負っています。たとえば、携帯電話のデータを盗み見ることができる SpyNote をインストールするものもあれば、偽の Chrome ブラウザとして偽装されたバンキング型トロイの木馬をインストールするものもあります。
ドロッパー マルウェアから身を守る方法
ドロッパー マルウェアは恐ろしいように聞こえるかもしれませんが、主にサードパーティの Web サイトでホストされていることがわかります。したがって、アプリは常に公式ソースからダウンロードすることをお勧めします。
PC の場合は、公式ソースからのみアプリをインストールしてください。通常、アプリは開発者の Web サイトで見つけることができますが、開発者がダウンロードを処理するために外部ホストを使用する場合もあります。疑問がある場合は、アプリをダウンロードする前に、Web サイトが安全で保護されていることを必ず再確認してください。
オペレーティング システムにアプリ ストアが付属している場合は、そこからアプリをダウンロードする方が、サードパーティの Web サイトからダウンロードするよりも安全です。Microsoft ストアや Google Play などのマーケットプレイスには、ドロッパーなどの脅威からユーザーを保護するためのセキュリティ対策が備わっています。
とはいえ、公式アプリ ストアに表示されるすべてのアプリを信頼するのは賢明ではありません。マルウェア開発者は、悪意のあるアプリをこれらのアプリ ストアに忍び込ませる方法を見つけることができ、Google Play でさえマルウェアから 100% 安全ではありません。
幸いなことに、Google Play で偽の Android アプリを見つけるために実行できる手順は、他のアプリ ストアにも適用されます。アプリに「違和感」がある場合は、ダウンロードしないでください。
ドロッパー マルウェアを撃退する
ドロッパーは厄介なキットですが、アプリをダウンロードするときにオンラインで適切な手順を踏むことで、それらから身を守ることができます。そして、ドロッパーがサービスとして提供されるようになった今、それらから身を守ることはこれまで以上に重要です。
コメントする