「Telegram」や「Threema」アプリを装う新しい「Android」スパイウェアに注意
少なくとも2017年以降、中東での攻撃で知られるハッキンググループが、 「Telegram」 や 「Threema」 などの正規のメッセージングアプリになりすまし、以前は文書化されていなかった新しいマルウェアにAndroid端末を感染させることが最近判明した。
ESETは、「2017年に文書化されたバージョンと比較すると、Android/SpyC 23.Aでは、メッセージングアプリからの通知の読み取り、通話の録音と画面の録画、ビルトインAndroidセキュリティアプリからの通知の削除などの新しいステルス機能など、スパイ機能が拡張されている。」と分析している。
Qihoo 360によって2017年に初めて詳細が明らかにされ、(aka APT-C-23 or Desert Scorpion (APT-C-23またはDesert Scorpion))というニックネームで呼ばれているこのモバイルマルウェアは、ターゲットとする個人のデバイスをスパイし、通話記録、連絡先、ロケーション、メッセージ、写真、その他の機密文書をその過程で流出させる能力によって「測量用品」と考えられている。
Symantecは2018年に、悪質なメディアプレーヤーを利用して同デバイスから情報を取得し、被害者をだまして追加のマルウェアをインストールさせるという、同キャンペーンの新しい亜種を発見した。
そして今年に入ってからCheck Point Researchは、ハマスのオペレーターがFacebook、Instagram、Telegramで10代の少女を装い、イスラエル兵士がマルウェアに感染したアプリを携帯電話にインストールするよう仕向けたAPT-C-23活動の新たな兆候を詳細に明らかにした。
ESETが詳細を明らかにしたこのスパイウェアの最新バージョンでは、これらの機能が拡張されており、画面の記録やスクリーンショットを介してソーシャルメディアやメッセージングアプリから情報を収集したり、 「WhatsApp」 で送受信された通話をキャプチャしたり、 「WhatsApp」 「Viber」 「Facebook」 「Skype」 「Messenger」 などのソーシャルメディアアプリから通知のテキストを読み取ったりすることもできる。
感染は、被害者が「DigitalApps、」と呼ばれる偽のAndroidアプリストアを訪れ、Telegram、Threema、およびweMessageなどのアプリをダウンロードしたときに始まり、メッセージングアプリになりすますグループの動機が「マルウェアが要求するさまざまな権限を正当化する。」ことであることを示唆している。
このマルウェアは、通知を読んだり、 「Google Play Protect」 をオフにしたり、セキュリティやプライバシーの機能を装ってユーザーの画面を記録したりするための侵害的なアクセス許可を要求するだけでなく、新たに感染した被害者を登録してデバイス情報を送信するために、C 2サーバと通信する。
通常はメンテナンス中のウェブサイトを装っているC 2サーバは、コマンドを侵入した携帯電話に中継する役割も担っており、音声の録音、Wi-Fiの再起動、デバイスにインストールされているアプリのアンインストールなどに使用される。
さらに、黒いスクリーンオーバーレイを作成して通話アクティビティをマスクしながら、こっそり電話をかけられる新機能も搭載している。
「我々の調査によると、APT-C-23グループは現在も活動を続けており、モバイルツールを強化し、新たな事業を展開している。Android/SpyC 32.A (同グループの最新スパイウェア版) には、いくつかの改善が施されており、被害者にとって危険性が増している。」とESETは述べた。
不正なサードパーティーのアプリストアからダウンロードされたアプリは、ここ数年、Androidマルウェアの温床となっている。リスクを抑えるためには常に公式の情報源に固執し、デバイスにインストールする前にアプリが要求する許可を精査する必要がある。