Smishingマルウェアについて思うところ #BP6 #Moqhao

はじめに

こんにちは、morimolymolyです。
最近どうも調子が悪くて、アニメをみれたらみる、それ以外はたまにコンピュータに触れる、そんな生活を送っています。

さて、最近トレンドマイクロとJC3からとある発表*1 *2がなされました。

僕が以前解析していたSmishingマルウェアを動かすアクターがJC3とトレンドマイクロによりBP6と名付けられたようです。(その他にも連携をとっているであろうBP1やCPシリーズなど多数のグループが背後にいるそうです。こわいですね)

そんな中で、BP6と思われるアクターが操作する携帯電話から、また私の携帯電話にSMSが送られてきたので解析しました。
検体に関してはXLoader(Moqhao)そのもので、以前書いた記事と酷似しているため詳細は省き、IOCのみを共有いたします。

morimolymoly.hateblo.jp

IOCはこちらです。
otx.alienvault.com

初めてAlienVault OTXを使いましたが、便利そうなので今後も使うと思います。

NTTSecurity.apkについて

Twitter上でとある情報共有がなされていました。

検体名が面白かったし、ランディングページがはりきって作られているので少しだけ解析をしました。
これがBP6によるものかは明らかになっていません。

こちらの検体は、jiagu packerと呼ばれるパッキング技術を採用しているようでした。
検体のjiagu packerのライブラリをVTに食わせた結果が以下の通りです。

https://www.virustotal.com/gui/file/8eaab75d3ab9597b988d0f3bc6463e35c5dd90261dae29e5260f7b4a758fea5f/summary

jiagu packerはQihoo360が開発、提供しているモバイルアプリの耐タンパー性能を向上させるツールのようです。
jiagu.360.cn

実際に検体がパッキングされていることがデータの解析により判明いたしました。

f:id:morimolymoly:20210515210628p:plain

参考にしたjiagu packerの解析記事は以下のとおりです。
blog.zimperium.com

またこのパッカーは、仮想マシン型のパッキングを行っているそうです。

詳細な解析は気が向いたら行いますが、今後モバイル向けの高性能なパッカーを用いるアクターが増えることが予想されます。

最後に

解析を少ししかしていないので情報量が少なくなってしまいましたが、BP6などのSmishingアクターを追いかけるアナリスト、リサーチャーのお役に立てると幸いです。
今回、jiagu packerなる高性能なパッカーを採用している検体に遭遇し驚きました。

BP6なるアクターがXLoader(Moqhao)から、別の検体を配信していることは観測しています。
morimolymoly.hateblo.jp

今後も新たなマルウェアを用いた攻撃が増加する可能性があります。
これからも注視していきましょう。

それでは。

*1:[トレンドマイクロの記事 blog.trendmicro.co.jp]

*2:[JC3によるプレスリリース www.jc3.or.jp]