研究者たちは、SignalやToTokといったメッセージングアプリを装った2つのAndroidスパイウェアファミリーが、アラブ首長国連邦(UAE)の住民を標的にしていることを発見しました。
ESETは木曜日にブログ記事でこのスパイウェアキャンペーンを明らかにし、研究者が6月に発見したものの、昨年から存在していたと考えられると述べました。彼らはこのキャンペーンを「ProSpy」と「ToSpy」と名付け、前者はSignalとToTokの両方を、後者はToTokのみを偽装していました。
ToTokは、2020年にニューヨーク・タイムズが同アプリ自体がUAE政府のスパイツールであると報じた後、事実上サービスが終了しています。ESETによると、スパイウェアは「ToTok Pro」としてアプリの強化版を装っていました。
ダウンロード後、スパイウェアは連絡先、テキストメッセージ、保存ファイルへのアクセス許可を要求し、許可が与えられるとデータの流出を開始できると研究者は述べています。それには、許可を求めたデータだけでなく、端末情報、音声、動画、画像、チャットのバックアップも含まれます。
「スパイウェアを含むアプリはどちらも公式アプリストアでは入手できず、いずれも正規サービスを装ったサードパーティのウェブサイトから手動でインストールする必要がありました」と、発見者であるESETの研究者ルカシュ・シュテファンコ氏は述べています。「特に、ToSpyマルウェアファミリーを配布していたウェブサイトの1つはSamsung Galaxy Storeを模倣しており、ユーザーを騙してToTokアプリの悪意あるバージョンを手動でダウンロード・インストールさせていました。」
「UAEでの検出が確認されていること、フィッシングや偽アプリストアの利用があることから、地域に特化した戦略的な配信手法が用いられていることが示唆されます」と同氏は述べています。
ハッカーが偽のメッセージングアプリにマルウェアを仕込むのはこれが初めてではありません。ESETは昨年もこの現象にスポットを当て、意図不明な偽WhatsAppアップデートや、暗号資産を盗むためのTelegramやWhatsAppの模倣サイト、中国政府系グループが本物そっくりのSignalやTelegramアプリを通じてAndroid向けBadBazaarスパイコードを配布しようとした事例などを指摘しています。
ESETは、最新のスパイウェアキャンペーンがプライバシー意識の高いUAE住民を標的にしている可能性が高いと結論付けています。その理由として、ToTokアプリが主に同地域で利用されていたことや、ドメイン名に「ae.net」という文字列が含まれており、「AE」がUAEの2文字国コードであることを挙げています。
「アプリの地域的な人気や、脅威アクターによるなりすまし戦術を考えると、このスパイウェアキャンペーンの主な標的はUAEまたはその周辺地域のユーザーであると推測するのが妥当です」とESETはブログ記事で述べています。
