進行中のイスラエル・イラン紛争中に民間人の恐怖を悪用する新しいモバイルスパイ活動が発見されました。攻撃者は、イスラエルの公式ロケット警告アプリ「Red Alert」のトロイの木馬化されたバージョンをSMSフィッシングを通じて配布しています。
RedAlertと名付けられた悪意のある活動は、CloudSEKによって発見され、Google Play Storeをバイパスして、イスラエル防衛軍ホームフロントコマンドの正規アプリを密接に模倣した偽のアップデートへの側読み込みへの被害者を誘導します。
詐欺的なアプリは本物のインターフェースを模倣し、実際のロケット警告を配信し続けながら、バックグラウンドで監視ペイロードが実行されます。
通知アクセスのみを必要とする公式版とは異なり、武装化されたバリアントはSMSメッセージ、連絡先、正確なGPS位置データへのアクセスを含む高リスク権限を積極的に要求します。
研究者らは、マルウェアが洗練された検出回避技術を使用していると述べています。元のアプリの2014年の署名証明書を偽造し、Play Storeからダウンロードされたかのようにインストールデータを改ざんします。
リフレクションとプロキシフックを通じてAndroidの内部パッケージマネージャーを操作することで、ソフトウェアは標準的な整合性チェックを回避し、アプリケーション内に埋め込まれた二次ペイロードを隠蔽します。
多段階感染チェーン
感染プロセスは3つの段階で展開されます:
-
アプリケーションを隠ぺいし、隠されたアセットを抽出する初期ローダー
-
内部ファイルとして保存される動的にロードされた中間ペイロード
-
スパイウェア機能とコマンド・アンド・コントロール通信を活性化する最終実行可能コンポーネント
アクティブになると、マルウェアは継続的に権限の変更を監視します。ユーザーが単一の機密機能へのアクセスを許可した瞬間、データ収集が開始されます。SMS受信トレイ全体、連絡先リスト、リアルタイム位置座標などの盗まれた情報は、繰り返されるHTTP POSTリクエストを通じて攻撃者が管理するサーバーに送信される前に、ローカルでステージングされます。
モバイルスパイウェアの脅威についての詳細をお読みください:新しいモバイルスパイウェア ZeroDayRAT が Android と iOS をターゲット
戦略的および物理的セキュリティリスク
ネットワーク分析は、AWSでホストされてCloudflareを通じてプロキシされたインフラストラクチャへのアウトバウンドトラフィックにリンクしており、オペレーターのバックエンドシステムを不明瞭にしています。コマンド・アンド・コントロール(C2)エンドポイント api.ra-backup[.]com が流出データを受け取っているのが確認されました。
CloudSEKの研究者は、キャンペーンが従来のサイバーリスク以上のものをもたらすと警告しました。空襲中の継続的なGPS追跡は、民間人の避難所の場所を露出したり、軍の予備役の移動を追跡したりする可能性があります。インターセプトされたSMSメッセージはまた、攻撃者が二要素認証(2FA)をバイパスしたり、標的を絞った心理操作を実施したりするのを可能にする可能性があります。
スパイ活動を超えて、この操作は公共の信頼を脅かしています。重要な緊急アプリケーションのブランド化を乗っ取ることで、キャンペーンは民間人が最も必要とする時期に公式警報システムへの信頼を損なうリスクがあります。
セキュリティチームは、デバイスの即座の隔離、管理者権限の取り消し、ほとんどの場合、マルウェアを削除するための完全な出荷時リセットを推奨しています。ネットワーク管理者は、既知の悪意のあるドメインをブロックし、モバイルデバイス管理ポリシーを通じてサイドロードされたアプリケーションを制限するよう求められています。
翻訳元: https://www.infosecurity-magazine.com/news/redalert-israel-spyware-campaign/
