サイバーセキュリティ研究者は、ロシア軍の関係者がAlpine Questマッピングソフトウェアに偽装したAndroidスパイウェアを配布する新たな悪意のあるキャンペーンの標的になっていることを明らかにしました。
「攻撃者はこのトロイの木馬を改変されたAlpine Questマッピングソフトウェア内に隠し、ロシアのAndroidアプリカタログの一つを含む様々な方法で配布しています」とDoctor Webは分析で述べています。
このトロイの木馬は、古いバージョンのソフトウェアに埋め込まれており、広告や分析機能を削除した有料版のAlpine Quest Proの無料版として配布されています。
ロシアのサイバーセキュリティベンダーは、Android.Spy.1292.originと名付けられたマルウェアが、偽のTelegramチャンネルを通じてAPKファイルの形で配布されていることも観察しました。
脅威アクターは当初、Telegramチャンネルを通じてロシアのアプリカタログの一つでアプリをダウンロードするためのリンクを提供しましたが、後にトロイの木馬化されたバージョンがアプリの更新として直接APKとして配布されました。
この攻撃キャンペーンが注目に値するのは、Alpine Questが特別軍事作戦地域でロシア軍関係者によって使用されているという事実を利用している点です。
Androidデバイスにインストールされると、マルウェアが仕込まれたアプリは元のアプリと同じように見え、機能するため、長期間にわたって検出されずに機密データを収集することができます –
- 携帯電話番号とそのアカウント
- 連絡先リスト
- 現在の日付と位置情報
- 保存されたファイルに関する情報、および
- アプリのバージョン
被害者の位置情報を変更するたびにTelegramボットに送信することに加え、スパイウェアは追加のモジュールをダウンロードして実行する機能をサポートしており、特にTelegramやWhatsAppを通じて送信されたファイルを流出させることができます。
「Android.Spy.1292.originは、ユーザーの位置情報を監視できるだけでなく、機密ファイルを乗っ取ることも可能です」とDoctor Webは述べています。「さらに、その機能は新しいモジュールのダウンロードを通じて拡張可能であり、より広範な悪意のあるタスクを実行することができます。」
このような脅威によるリスクを軽減するためには、信頼できるアプリマーケットプレイスからのみAndroidアプリをダウンロードし、疑わしいソースからの「無料」の有料版ソフトウェアのダウンロードを避けることが推奨されます。
新しいWindowsバックドアに狙われたロシアの組織#
この発表は、Kasperskyがロシアの政府、金融、産業部門を含む様々な大規模組織が、ViPNetという安全なネットワーキングソフトウェアの更新として偽装された高度なバックドアに狙われていることを明らかにした際に行われました。
「バックドアはViPNetネットワークに接続されたコンピュータを標的にしています」と同社は予備報告で述べています。「バックドアは、問題のソフトウェア製品の更新に典型的な構造を持つLZHアーカイブ内で配布されました。」
アーカイブ内には、ファイル内に含まれる暗号化されたペイロードのローダーとして機能する悪意のある実行可能ファイル(「msinfo32.exe」)が含まれています。
「ローダーはファイルの内容を処理してバックドアをメモリにロードします」とKasperskyは述べています。このバックドアは多用途であり、TCPを介してC2サーバーに接続し、感染したコンピュータからファイルを盗み、追加の悪意のあるコンポーネントを起動することができます。」