韓国で250以上の偽モバイルアプリによるハッキングと恐喝被害

出典：Wodthikorn Phuttasatchathum（Alamy Stock Photo経由）

ハッカーは、韓国で250以上の一見無害なAndroidおよびiOSアプリにスパイウェアを仕込んでいました。

これらの悪意のあるアプリは、SNS、出会い系、クラウドファイルサービス、さらにはカーサービスなど、さまざまな種類があります。無害そうな名前や、かわいくてプロフェッショナルなロゴを模倣し、多くの五つ星レビューも付いています。つまり、個人情報保護を解除するまでは正規のアプリと簡単に見分けがつかないのです。

これらのアプリがユーザーの個人情報を無差別に盗むだけではありません。Zimperiumの研究者によると、場合によっては、背後にいるハッカーが感染を「手動攻撃」へとエスカレートさせ、極めて個人的な情報を使って被害者を直接恐喝するケースもあると警告しています。

250以上の悪意あるアプリ

Zimperiumの研究者は最近、韓国語のブログで珍しい投稿を発見しました。それは、最近失恋したばかりの若い男性によるものでした。彼は寂しさを感じていたとき、オンラインで出会い系アプリの広告を目にしました。

今思えば、これは驚くことではありません。Zimperiumの研究者は、このキャンペーンの背後に88のユニークなドメインのネットワークを特定し、そのうち70が積極的にマルウェアを配布していました。重要なのは、そのうち25がGoogleにインデックス登録されていたことです。つまり、例えば出会い系関連の検索ワードを入力した人が、正規のサイトと並んでこれらのドメインを目にする可能性があったのです。

その男性は、「Flirting ♡ – 近所の友達、外国人の友達、飲み友達、恋人を作ろう」や「韓国No.1!! Kiss Room — 楽しく健全な遊び文化からの脱出」といったサイトを見かけたかもしれません。彼はそのうちの一つにアクセスし、「何も考えずに」アプリをスマホにインストールしたと振り返っています。

アプリを端末で開くと、最初に招待コードの入力を求められます。これにより、アプリが何らかの形で「限定的」であるかのような印象を与え、偽装を強化します。コードを入力すると、さまざまな権限の付与を求められます。

この時点で、偽装は完了です。さまざまな悪意ある行為を行うために必要な権限をすべて取得した後、男性の画面には、模倣しているアプリとはまったく異なる、簡素でプロフェッショナルとは言えないインターフェースが表示されます（下の画像参照）。

スパイウェアと恐喝

彼がユーザーインターフェースを理解しようとしている間にも、マルウェアは（本人が気づかないうちに）作動を開始していました。この時点で、マルウェアは端末のセキュリティツール（ダウンロード直後の挙動しか監視しない）を回避し、連絡先リスト全体、電話番号、端末識別子、プライベート写真、SMSメッセージ履歴など、さまざまなデータの静かな抜き取りを始めることができます。

最近のマルウェアのサンプルでは、SMSの抜き取り機能が削除されています。Zimperiumのグローバルソリューション担当副社長のカーン・スミス氏は、「多くのシグネチャベースの検知は、アプリがSMSの全権限を要求するとフラグを立てるためです。これは、攻撃者が一か八かのアプローチではなく、より巧妙になり、より広範な侵入のために特定のデータへのアクセスを犠牲にすることもいとわないことを示しています」と指摘します。

彼はさらに「この種のキャンペーンでは、通常多面的な目的があります。何が得られるかを見て、できる限りやるということです」と付け加えます。

「ですから、その一部は金銭的な詐欺、いわゆる古典的な詐欺である可能性もあります。被害者にギフトカードを送らせるなどです。または、[認証情報の窃取]が目的かもしれません。ユーザーの企業や個人の銀行口座などにアクセスできるかどうかを試すのです。そして、単純な恐喝もあります。誰かを操作したり、被害者が公にされたくない情報を共有したりするのです」と説明します。

この若い男性もまさにそのケースでした。彼は見知らぬ人から性的な内容をほのめかすメッセージを受け取り、ビデオ通話に誘われました。その後、詐欺に気づいたときには、攻撃者は彼の家族に連絡し、彼を恐喝しました。

「悪意ある攻撃者は、より個人的にターゲットを絞る方法へと進化しています」とスミス氏は警告します。「彼らは操作のために独創的な手段を考え出しているのです。」