TokyoBlackHatNews

bleepingcomputer.com 5分で読了

AndroidスパイウェアキャンペーンがSignalおよびToTokメッセンジャーを装う

Image

研究者がProSpyおよびToSpyと呼ぶ2つの新しいスパイウェアキャンペーンが、SignalおよびToTokメッセンジャーアプリの偽のアップグレードやプラグインでAndroidユーザーを誘導し、機密データを盗みました。

悪意のあるファイルに正当性を持たせるため、攻撃者はこれら2つの通信プラットフォームを装ったウェブサイトを通じて配布しました。

Signalは、Google Playで1億回以上ダウンロードされている人気のエンドツーエンド暗号化メッセンジャーです。

ToTokは、アラブ首長国連邦(UAE)に拠点を置く人工知能企業G42によって開発され、UAE政府のスパイツールであるとの疑惑から2019年にAppleおよびGoogleのアプリストアから削除されました。

現在、ToTokは公式ウェブサイトおよびサードパーティのアプリストアからダウンロード可能です。

ステルス性と持続性

サイバーセキュリティ企業ESETの研究者は2024年6月にProSpyキャンペーンを発見しましたが、活動は少なくとも2024年から始まっていると考えられています。分析によると、これらの悪意あるキャンペーンはアラブ首長国連邦のユーザーを標的にしています。

調査の過程で、「これまで文書化されていなかった2つのスパイウェアファミリー」が発見されました。これらはSignal Encryption PluginおよびToTokアプリのProバージョンを装っていますが、いずれも実在しません。

スパイウェアキャンペーンの運営者は、公式のSignalウェブサイト(https://signal.ct[.]ws および https://encryption-plug-in-signal.com-ae[.]net/)やSamsung Galaxy Store(store.latestversion[.]ai および https://store.appupdate[.]ai)を装ったウェブページを通じて、悪意のあるAPKファイルを配布しました。

Image
偽のSignalプラグインウェブサイト
出典: ESET

BleepingComputerはこれらの詐欺ウェブサイトへのアクセスを試みましたが、ほとんどがオフラインで、1つは公式のToTokウェブサイトにリダイレクトされていました。

実行されると、ProSpyマルウェアサンプルは連絡先リスト、SMS、ファイルへのアクセスを要求します。これはメッセンジャーアプリで一般的な権限です。

デバイス上で有効になると、マルウェアは以下のデータを流出させます:

  • デバイス情報(ハードウェア、オペレーティングシステム、IPアドレス)
  • 保存されたSMSテキスト、連絡先リスト
  • ファイル(音声、ドキュメント、画像、動画)
  • ToTokのバックアップファイル
  • インストールされているアプリケーションのリスト

隠れるために、Signal Encryption Pluginはホーム画面上で「Play Services」のアイコンとラベルを使用します。さらに、アイコンをタップすると正規のGoogle Play Serviceアプリの情報画面が開きます。

下図はProSpy感染の仕組みを説明しています。正規アプリがデバイスに存在しない場合、公式のダウンロードサイトにリダイレクトすることで、ユーザーの疑念を避ける工夫がされています。

Image
ProSpyの実行フロー
出典: ESET

ToSpyキャンペーンは2022年に始まった可能性

研究者によると、ToSpyキャンペーンはコマンド&コントロール(C2)インフラが稼働中であることから、現在も継続中です。

ESETは、この活動が2022年までさかのぼる可能性があると指摘しています。理由は、2022年5月24日に作成された開発者証明書、同年5月18日に登録された配布・C2用ドメイン、6月30日にVirusTotalスキャンプラットフォームにアップロードされたサンプルなど、複数の証拠があるためです。

Fake Galaxy Store page promoting the spyware app
偽のGalaxy Storeページ
出典: ESET

このキャンペーンで配布された偽のToTokアプリは、被害者に連絡先およびストレージへのアクセス権限を付与するよう促し、関連データを収集します。主にドキュメント、画像、動画、ToTokチャットのバックアップ(.ttkmbackupファイル)に焦点を当てています。

ESETのレポートによると、流出した全データはまずCBCモードのAES共通鍵暗号アルゴリズムで暗号化されます。

ステルス性のため、ToSpyはデバイス上に本物のToTokアプリがあれば、それを起動します。

アプリが存在しない場合、マルウェアはHuawei AppGallery(正規アプリまたはデフォルトのウェブブラウザ)を開こうとし、ユーザーが公式ToTokアプリを入手できるようにします。

The ToSpy execution flow
ToSpyの実行フロー
出典: ESET

両方のスパイウェアファミリーは、感染したデバイス上で3つの持続化メカニズムを使用します:

  • ‘AlarmManager’ AndroidシステムAPIの悪用により、プロセスが終了しても自動的に再起動します。
  • 永続的な通知を伴うフォアグラウンドサービスを使用し、システムに高優先度プロセスとして扱わせます。
  • BOOT_COMPLETEDブロードキャストイベントの受信を登録し、デバイス再起動時にユーザー操作なしでスパイウェアを再起動します。

ESETは、ProSpyおよびToSpyキャンペーンに関連する侵害の指標(IoC)の包括的なリストを共有していますが、攻撃者の特定には至っていません。

Androidユーザーは、アプリを公式または信頼できるリポジトリ、あるいは発行元の公式ウェブサイトからのみダウンロードすることが推奨されます。また、既知の脅威を無効化するために、デバイス上でPlay Protectサービスを有効にしておくべきです。

翻訳元: https://www.bleepingcomputer.com/news/security/android-spyware-campaigns-impersonate-signal-and-totok-messengers/

ソース: bleepingcomputer.com
#AIサイバーセキュリティ #AIフィッシング #AIマルウェア #Android #Australian Signals Directorate #ChineseTech #Telegram偽アプリ #ToTok #スパイウェア #データ窃取

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用