セキュリティ研究者は、地域ニュースサイト「Hunza News」に対する水飲み場型攻撃を特定した。同サイトは、パキスタンが実効支配する係争地域ギルギット・バルティスタンに関するニュースを配信している。
本日早くにESETのマルウェア研究者ルーカス・ステファンコ氏が公開した新たなアドバイザリによると、この攻撃は同地域のウルドゥー語話者を標的にし、これまで未知だった「Kamran」と名付けられたスパイウェアを展開するという。
この攻撃は主に、Hunza Newsのウルドゥー語版サイトにアクセスするモバイルユーザーに影響し、同サイトは一見無害に見えるAndroidアプリのダウンロードを提供している。しかし、このアプリには悪意ある諜報機能が潜んでおり、ユーザーが特定の権限を付与すると機微なデータを収集する。このスパイウェアは少なくとも20台のモバイル端末を侵害している。
ステファンコ氏は、悪意あるアプリはGoogle Playストアではなくウェブサイトから直接ダウンロードされるため、ユーザーは不明な提供元からのインストールを有効にする必要があると説明した。
注目すべき点として、Kamranスパイウェアは2023年1月7日 から3月21日 の間に同サイト上に出現しており、この期間はギルギット・バルティスタンで土地権、課税問題、停電、食料供給をめぐる抗議活動が行われていた時期と重なる。この地域は、インドとパキスタンの間で続くより大きなカシミール紛争の枠内に位置し、戦略的に重要である。これは、パキスタンと中国の貿易を促進するカラコルム・ハイウェイ沿いに位置しているためだ。
Kamranスパイウェアは、その独特なコード構成が特徴だ。ユーザーが権限を付与すると、SMSメッセージ、連絡先、位置情報などを含むさまざまな機微データを収集する。その後、これらの情報をFirebaseのコマンド&コントロール(C2)サーバーにアップロードする。
Androidスパイウェアについて詳しく読む:大統領選挙を前にマダガスカル政府との関連が指摘されるPredatorスパイウェア
ユーザーには、この種の脅威から身を守るため、信頼できる公式の提供元からのみアプリをダウンロードするよう促されている。Kamranスパイウェア攻撃に関連する侵害指標(IoC)の一覧は、ESETのアドバイザリに含まれている。
Infosecurityはこの攻撃についてHunza Newsに問い合わせたが、執筆時点では回答を得られていなかった。
翻訳元: https://www.infosecurity-magazine.com/news/kamran-spyware-targets-urdu/
