出典:Robert Lemos(写真)、ASEAN(地図)
正体不明の脅威グループが、アジア太平洋地域の中国語話者の消費者や従業員を標的に、攻撃者が悪意のある機能を追加できる古い脆弱性を利用したトロイの木馬型Androidマルウェアのバージョンを用いて攻撃を仕掛けました。
この攻撃では、フィッシングや検索エンジン最適化(SEO)を利用して、被害者候補を600以上の中国語ダウンロードサイトにリダイレクトし、Androidを含む様々なプラットフォーム向けのTelegramメッセージングアプリをインストールできるように見せかけています。実際には、これらのダウンロードページはAndroidユーザーをQRコードで誘導し、古い脆弱性を利用して一部のセキュリティ対策を回避する悪意のあるTelegramバージョンをインストールさせようとします。
BforeAIのセキュリティアナリスト、リシカ・デサイ氏(同社はこの分析を公開したマネージド検知・対応企業)によれば、アジア太平洋地域ではサードパーティからのダウンロードがかなり一般的だといいます。
「私たちが特定した607のドメインはすべて個別のウェブサイトであり、Google Playとは一切接続されていませんでした」と彼女は述べています。「QRコードはユーザーを1つの主要なウェブサイトにリダイレクトし、そこからアプリケーションまたは実行ファイルがダウンロードされます。」
メッセージングアプリやその他の人気アプリの改ざんバージョンを使ってアジアのユーザーを標的にすることは珍しくありません。最近の調査によると、中国で販売されている安価なスマートフォンには、WhatsAppなどのトロイの木馬化されたメッセージングアプリがプリインストールされていたことが判明しています(Doctor Webが4月に発表した調査、フランス・ストラスブール拠点のサイバーセキュリティソフトウェア企業)。他にも、サイバー犯罪グループによる攻撃では、仮想通貨の窃取、銀行口座の侵害、あるいは単なるサイバースパイ活動を目的に高価値個人を標的としたものもあります。
2022年にも同様の攻撃があり、中国語のウェブサイトを使って偽のTelegramアプリをインストールさせる手口が使われました。このウェブサイトは複数プラットフォーム向けのインストールプログラムを宣伝していましたが、実際に悪意のあるダウンロードにリダイレクトされたのはWindowsシステムのみで、他のシステムは本物のTelegramサイトにリダイレクトされていました。
「フィッシング攻撃は、攻撃者が標的システムを最初に侵害する際に最も一般的に使う手法の一つです」とCybleの調査は当時述べています。「これらの攻撃は非常に一般的ですが、今回の場合、ペイロードは特に高度で、複数の高度なスパイ機能を備えています。」
紙飛行機とTelegram
今回のキャンペーンでは、「teleqram」「telegramapp」「apktelegram」などのタイポスクワットドメインやフィッシングを利用し、被害者候補をTelegram Messengerの人気アプリを装ったAndroidパッケージ(APK)を積極的に配布するページへ誘導しました。これらのドメインは主に中国語圏の国でホストされており、ページタイトルには「紙飛行機」(Telegramのロゴ)に関する記述があり、ダウンロードを開始するQRコードが掲載されていたとBforeAIの研究者は報告書で述べています。
ページタイトルは、悪意のあるダウンロードページを検索結果に表示させるための手段である可能性があると、BforeAIのデサイ氏は述べています。
「攻撃者は、世界的に人気が高まっているものを利用し、それがTelegram経由で配布されると約束することで、被害者をダウンロードに誘導できるのです」と彼女は述べています。
600以上のドメインがTelegramダウンロードをうたう中国語ウェブサイトですが、実際にはマルウェアへ誘導します。出典:BforeAI
トロイの木馬化されたTelegramアプリケーションは、元のAndroid v1署名方式を使用しており、APKアーカイブ内のメタデータが保護されません。この欠陥により、Janus脆弱性(2017年7月に発見され、同年12月に修正)を通じて、バージョン5.0~8.0を実行している古いスマートフォンに対してより深刻な攻撃が可能になります。この脆弱性により、攻撃者はAPKファイル内にペイロードを隠したり、既にインストールされているAndroidアプリに追加機能を加えて更新したりできます。
「悪意のあるアプリケーションを作成した後、それは元のv1署名を使って再パッケージ化されます」とBforeAIは報告書で述べています。「この改ざんは検出されず、不審に思われることなく改ざんアプリがインストールされます。つまり、攻撃者はアプリをより危険なものにし、APKとして再配布し、特に古い端末のユーザーにセキュリティチェックを完全に回避してインストールさせることができるのです。」
当初、この脆弱性は全Android端末の約4分の3に影響していましたが、現在では脆弱なAndroidバージョンは既存端末の約3.4%にしか存在しません。
未解決の問題が残る
悪意のあるAPKは、その権限を利用してAndroidメディアプレーヤーを呼び出し、リモートコマンドの受信・実行の仕組みとして利用し、攻撃者が端末を制御できるようにします。
さらに、脅威アクターはFirebaseのバックエンドサービスを利用し、アプリケーションの制御やユーザー認証、ファイル保存を行っていました。コード内で言及されているFirebaseインスタンスの一つは、現在は無効化されているとデサイ氏は述べています。
「もし同じ名前で(Firebaseインスタンスを)作成できれば、他のアプリもこの既存のFirebaseに接続できてしまいます」と彼女は述べています。「誰かがこれを利用して本キャンペーンの研究者を支援することもできれば、別のサイバーグループがこのデータを掌握してキャンペーンを継続する可能性もあります。これにより、犯人の特定が非常に困難になります。」
企業は、接触された悪意のある(または信頼できない)ドメインを通じて攻撃を検知できるほか、脅威インテリジェンスサービスやEDR(エンドポイント検知・対応)プラットフォームを使って潜在的な悪意のあるソフトウェアを特定できると、BforeAIは報告書で述べています。最低限、企業は従業員が未確認のソースからアプリケーションをダウンロード・インストールすることを防ぐべきです。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/telegram-app-chinese-users-android-data