セキュリティ研究者によると、ハマス関連の攻撃者がSMSメッセージを通じてイスラエル人のスマートフォンに、緊急警報アプリに偽装したスパイウェアを配布しています。
Acronis脅威研究ユニット(TRU)のアナリストは3月1日、数百万人のイスラエル人が使用するRed Alertロケットアプリのトロイの木馬化されたバージョンである悪意のあるアプリを発見しました。これは複数の市民がソーシャルメディアで詐欺を報告した後のことです。
「現在のところ、スコープや規模がどの程度であるか、または感染がどの程度成功したかを確実に知る方法はありません」とTRUシニアセキュリティ研究者のEliad KimhyはThe Registerに語りました。「このキャンペーンはおそらく無差別です」とKimhyは付け加え、イスラエル国家サイバー局とすべての主要なイスラエルのニュースサイトがその後フィッシング攻撃について警告を発表したことに言及しました。これは「これが広く無差別であるという理論をさらに支持しています」。
脅威研究者は、このキャンペーンがArid Viper(別称:APT-C-23、Desert Falcons、Two-tailed Scorpionとも呼ばれるハマス系サイバースパイ活動グループ)にリンクされている可能性があると述べています。このグループは少なくとも2013年以来活動しており、通常、イスラエル人をAndroid、iOS、およびWindowsシステムの監視マルウェアを使用してターゲットにしています。
この新しいキャンペーンは、公式の「Oref Alert」ロケット警告サービスになりすましたSMSメッセージを使用し、なりすまし送信者IDから配布され、受信者に緊急警報アプリの更新版をインストールするよう促しました。メッセージにはbit.ly短縮リンクが含まれていましたが、正当なRed Alert更新に誘導する代わりに、ユーザーの情報を収集・盗むスパイウェアをダウンロードするようにリダイレクトされました。
マルウェアの開発者は偽装証明書を使用し、アプリもインストーラーソースを偽装して、ソフトウェアがGoogle Playからインストールされたように見せかけました。これにより、Androidセキュリティチェックをバイパスし、正当に署名されたように見えることができました。
マルウェアの分析によると、20個の権限を要求しています。そのうち6つは特に懸念すべきもので、ユーザーの正確なGPS位置情報、SMSメッセージ、連絡先リスト、およびデバイスに保存されたアカウントへのリアルタイムアクセスを許可しています。また、電話の他のアプリケーションの上にフィッシングオーバーレイを作成し、攻撃者がワンタイムパスワード、認証情報、およびアカウント番号をインターセプトできるようにします。さらに、スパイアプリはデバイスの再起動後に自動的に起動することで、被害者の電話の永続性を維持しています。
盗まれたすべてのデータはローカルにステージングされた後、継続的に攻撃者のリモートコマンド・アンド・コントロール(C2)サーバーに送信されます。
「地域での軍事エスカレーションの時期は一貫してサイバー作戦の増加を伴っており、イスラエルに関連する過去の紛争は、状況を利用しようとするハクティビストとスパイ活動に焦点を当てた行為者によるキャンペーンを繰り返しトリガーしています」とTRUリードセキュリティ研究者のSantiago PontiroliはThe Registerに語りました。
「攻撃者は、緊急警報、ミサイル警告、またはセキュリティ更新などの戦時テーマを、監視マルウェアを配布し、機密情報を収集するためのソーシャルエンジニアリング誘い込みとして頻繁に利用しています」とPontiroliは述べています。「このような活動は、サイバー作戦がいかに動的紛争と平行して実行される情報収集層として機能し、地政学的緊張が高まる時期に、行為者がターゲットを監視し、ネットワークをマッピングし、高価値個人を特定できるようにしていることを強調しています。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/06/spyware_disguised_as_emergency_alert/
