TokyoBlackHatNews

darkreading.com 4分で読了

UAEのAndroidスパイウェア、スパイウェアのふりをして拡散

スマートフォン画面上のToTokロゴ

出典:SOPA Images Limited / Alamy Stock Photo

ハッカーたちは、ToTokアプリを装って、アラブ首長国連邦(UAE)全域で2種類のモバイルスパイウェアを拡散しています。

ToTokは、G42(アブダビ政府のプロジェクト)によって開発され、Microsoftが支援するメッセージングおよびVoIPアプリです。これは、エミラティ市民向けにプライバシーとセキュリティを重視したものとして宣伝されており、WhatsAppやTelegramのような存在ですが、実際はスパイウェアです

皮肉なことに、UAEでの特異な歴史と文化的地位のおかげで、このスパイウェアアプリは模倣スパイウェアの格好の隠れ蓑となっています。ESETの研究者は最近、2つのスパイウェア、「ToSpy」と「ProSpy」を発見しました。後者はSignalも模倣しています。これらのプログラムの開発者や被害者については、被害者の出身国以外ほとんど分かっていませんが、ToSpyとProSpyの拡散キャンペーンは数年にわたり継続していることは明らかです。ProSpyは2024年から、ToSpyは2022年から活動しています。

スパイウェア対スパイウェア

ToTokは、特にUAEで非常に人気がありました。エミラティ向けに設計され、積極的に宣伝されており、ローカルな存在でした。また、エミラティ政府は、VoIPなどの人気のある西洋のメッセージングアプリの主要機能を制限していたため、ToTokには人工的な競争優位性が生まれていました。

2019年12月に記者たちがToTokの本当の性質を明らかにして以来、AppleのApp StoreとGoogle Playでは禁止されています。通常ならこれでアプリは消滅しますが、ToTokは無制限の支援により存続し続けています。Appleデバイスはエコシステム外のアプリに制限がありますが、Android版ToTokはGoogle Play以外でも、公式ウェブサイトやSamsung、Huawei、その他中国系ベンダーのアプリストアを通じて流通し続けています。

そのため、ユーザーがGoogle Play以外からToTokをダウンロードすることは、単に考えうるだけでなく、開発者自身が推奨しています。これはハッカーにとって絶好の機会であり、ToTokやサードパーティのアプリストアを簡単に模倣して、ユーザーをフィッシングサイトに誘導できます。

ToSpyとProSpyは、英語のフィッシングサイト上でToTokの「Pro」エディションとして偽装されています。どちらかをダウンロードすると、Googleによる「不明な提供元からのアプリのインストールは端末や個人データを攻撃にさらす可能性がある」というお決まりのセキュリティ警告が表示されます。しかし、正規版アプリでも同じ警告が出るため、ユーザーはあまり気にしないでしょう。

ToSpyもProSpyも、ユーザーにさまざまな侵入的な権限を要求します。ユーザーが同意すれば、マルウェアは攻撃者が管理するサーバーにデータを送信し始めます。標的となるデータには、端末情報、連絡先、SMSメッセージ履歴、音声・動画・アーカイブ・ドキュメントなど様々なファイルタイプが含まれます。

ペイロード対Play Protect

ESETの上級マルウェア研究者Lukáš Štefanko氏は「技術的な観点から見ると、これらはあまり高度なマルウェアではありません。しかし、私の経験上、高度であることが必ずしもスパイ活動キャンペーンの成功要因ではありません」と評価しています。コード難読化、暗号化、メモリ上での実行などのような機能は、保護が手薄な端末では必ずしも必要ありません。「私の意見では、これらのキャンペーンが成功したのはシンプルだったからであり、被害者の視点から見ると、悪意あるアプリから正規アプリにループさせることで有用に見えたからです」と述べています。

Štefanko氏が最後に指摘しているのは、マルウェアがバックグラウンドでデータを盗みつつ、端末の前面では偽装を続ける方法です。ToSpyやProSpyの被害者がすでに本物のToTokアプリをインストールしている場合(またはProSpyがSignalを模倣している場合)、悪意あるアプリは単にそれを起動します。そうでない場合は、ダウンロード先にリダイレクトします。

ESETは調査結果をGoogleに共有し、GoogleはAndroidユーザーがToSpyやProSpyからGoogle Play Protectによって保護されていると主張しています。Google Play ProtectはGoogle Play搭載のAndroid端末でデフォルトで有効になっており、「このサービスは端末にインストールされたすべてのアプリをスキャンするはずです。さらに、Playストア以外から手動でインストールされたアプリも初回実行前にスキャンされるべきです」とŠtefanko氏は述べています。

彼はさらに、「Google Play Protect以外に、GoogleがAndroid端末を守るためにできることは他にないと思います」と付け加えています。

Dark ReadingはGoogleにコメントを求めており、返答があれば本記事を更新します。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/android-spyware-uae-spyware

ソース: darkreading.com
#.NET malware #AI in Cybersecurity #AI Phishing #Android #Android spyware #app impersonation #Google Play Protect #Mobile Security #ToTok #UAE

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開