出典: The Len via Shutterstock
研究者たちは、少なくとも2024年2月以降、iPhoneとAndroidユーザーを静かに狙っていた写真盗難マルウェアを発見しました。
このマルウェアの作成者は、AppleとGoogleの公式アプリストア内のアプリや、悪意のあるページ、トロイの木馬化されたTikTokアプリを通じて配布していました。カスペルスキー研究所のアナリストは、いくつかの疑わしいリンクを調査する際にこのマルウェアを発見し、昨年発見した同様の写真盗難マルウェア「SparkCat」にちなんで「SparkKitty」と名付けました。
データ盗難
SparkKittyの目的は、古い兄弟であるSparkCatと同様に、デバイスのギャラリーから画像を収集し、暗号通貨ウォレットのシードフレーズのスクリーンショットなどの機密コンテンツを見つけることです。カスペルスキーによると、SparkKittyを含むAndroidアプリは、削除される前にGoogle Playで10,000回以上インストールされていました。
“SparkCatとは異なり、上記で分析したスパイウェアは、攻撃者が被害者の暗号資産に興味を持っているという直接的な兆候を示していません”とカスペルスキーは今週のブログ投稿で述べています。”しかし、私たちは彼らがその目的で写真を盗んでいると信じています。”
セキュリティベンダーは、その評価を支持するいくつかのデータポイントを指摘しました。これには、武装化されたTikTokアプリ内の暗号専用ストア、カスペルスキーが野生でSparkKittyを発見した場所にある他の暗号テーマのアプリ、および以前にさまざまな暗号通貨やポンジースキームに関連付けられたインフラストラクチャが含まれていました。
SparkKittyキャンペーンは、公式アプリマーケットプレイスに侵入することでモバイルデバイスユーザーを狙った多数の他のキャンペーンと似ています。過去数年間、脅威アクターはGoogle Playのセキュリティフィルターを繰り返し回避し、スパイウェア、バンキングトロイの木馬、データ盗難アプリなどのモバイルマルウェアを正当なソフトウェアとして偽装してアップロードしてきました。しばしば、これらのアプリは比較的大量にダウンロードされ、検出されて削除される前に
AppleのApp Storeは一般的により制限的ですが、悪用を免れているわけではありません。いくつかのキャンペーン、最新のものはSparkKittyですが、悪意のあるアプリを成功裏に潜り込ませたり、Appleの審査プロセスを通過してバックドアを埋め込んだりしていますが、Googleのストアに比べると頻度は少ないです。SparkKittyのクロスプラットフォームの到達範囲は、モバイルに焦点を当てたサイバー脅威の進化した洗練性と持続性を強調しています。
カスペルスキーは、トロイのAndroidバリアントがJavaとKotlinの両方のバージョンで利用可能であり、Kotlinの実装はAndroidシステムの動作をカスタマイズするためのツールである悪意のあるXposedモジュールとして機能していることを発見しました。GoogleはPlayストアからSparkKittyを削除しました。
Appleの公式アプリストアでは、マルウェアの作成者は、オープンソースライブラリであるAFNetworkingやAlamofireなどの正当なものを装った悪意のあるフレームワークやライブラリとしてペイロードを配信しています。いくつかのケースでは、カスペルスキーは、攻撃者がAppleが開発者に提供するプロビジョニングプロファイルと呼ばれるツールを悪用し、Apple App Store外からiOSアプリをデバイスにインストールできるようにしていることを観察しました。
巧妙な戦術
攻撃者がSparkKittyキャンペーンで利用している特定のツールは、企業組織がiOSデバイスに内部使用アプリをAppleのモバイルアプリストアにアップロードすることなくインストールできるようにするものです。マルウェアの作成者は、Apple Enterpriseのプロビジョニング機能を利用して、iOSユーザーに悪意のある機能を持つTikTokの改変版をインストールさせています。
“Apple Developer Programは有料のメンバーシップとAppleによる開発者の検証を必要としますが、エンタープライズプロファイルはしばしば悪用されています”とカスペルスキーはその投稿で説明しています。”これらは、App Storeに適さないアプリ(オンラインカジノ、クラック、チート、または人気アプリの違法な改造)だけでなく、マルウェアの作成者によっても使用されています。”
カスペルスキーの分析によれば、改変されたiOS TikTokアプリは、ユーザーがアプリを起動するたびにユーザーのデバイスのフォトギャラリーへのアクセスを要求し、その後ギャラリーから画像を収集し、外部の攻撃者が制御するコマンドアンドコントロールサーバーに送信していました。
Appleは、同社がApp Storeから悪意のあるコードを削除したかどうかを尋ねるDark Readingのリクエストにすぐには応じませんでした。
カスペルスキーによると、入手可能な証拠はSparkKittyとSparkCatが関連していることを示唆しています。SparkKittyマルウェアの両バージョンは、SparkCatと同じフレームワークを使用し、同じ感染アプリを持ち、他のコードの重複があります。
翻訳元: https://www.darkreading.com/mobile-security/sparkkitty-swipes-pics-ios-android-devices