Photo Seoul by Ciaran O'Brien on Unsplash

Researchers Discover PhoneSpy Malware Spying on South Korean Citizens

2021/11/10 The Hacker News

現在進行中のモバイルスパイウェアキャンペーンでは、23種類の悪意あるAndroidアプリ群を使って、機密情報を吸い上げ、端末を遠隔操作するために、韓国居住者を監視していることが明らかになりました。

Zimperium社（米国に拠点を置き、テキサス州ダラスに本社を置く非公開のモバイルセキュリティ会社）の研究者であるAazim Yaswant氏は、「韓国人の被害者は1000人を超えており、この侵略的なキャンペーンの背後にある悪意のあるグループは、彼らのデバイス上のすべてのデータ、通信、サービスにアクセスしていました」と述べています。

「被害者は、何か問題があったという兆候もなく、自分の個人情報を悪意のある団体にブロードキャストしていました」

Zimperium社はこのキャンペーンを「PhoneSpy」と名付けました。

同社は、このスパイウェアが既知の脅威をもたらすものであるとは断定していません。同社のエンドポイントセキュリティ製品戦略ディレクターであるRichard Melick氏は、「PhoneSpyにまつわる証拠は、何年にもわたって流布され、個人によって更新され、プライベートなコミュニティやバックチャネルで共有され、今日のようなバリエーションに組み立てられた、よく知られたフレームワークを示しています」とHacker Newsに語っています。

この不正なアプリは、ヨガの学習や写真の閲覧、テレビやビデオの視聴など、一見何の変哲もないライフスタイル・ユーティリティーを装っていることがわかっています。この不正なアプリは、Google Play Storeやその他のサードパーティの非公式アプリ・マーケットに依存していないことから、ソーシャル・エンジニアリングやウェブ・トラフィック・リダイレクションを利用して、ユーザーを騙してアプリをダウンロードさせていると考えられます。

アプリをインストールすると、さまざまな権限を要求された後、Facebook、Instagram、Google、Kakao Talkなどの人気アプリのログインページを模したフィッシングサイトが表示されます。ログインしようとすると、HTTP 404 Not Foundのメッセージが表示されますが、実際には認証情報が盗まれ、リモートのコマンド＆コントロール（C2）サーバ（※1）に転送されます。

「多くのアプリケーションは、実際のアプリケーションを装っていますが、ユーザーベースの機能は全く持っていません」とYaswant氏は説明します。

「他のいくつかのケースでは、例えば写真ビューアとして宣伝されているシンプルなアプリの場合、PhoneSpyスパイウェアがバックグラウンドで動作している間は宣伝通りに動作します」

他のトロイの木馬と同様に、PhoneSpyは定着した権限を悪用し、脅威行為者がカメラにアクセスして写真を撮影したり、ビデオやオーディオを録音したり、正確なGPS位置を取得したり、デバイスの写真を表示したりすることができるだけでなく、SMSメッセージ、連絡先、通話ログを抽出したり、攻撃者が制御するテキストを含むSMSメッセージを電話機に送信したりすることもできます。蓄積されたデータは、C2サーバーと共有されます。

「モバイル・スパイウェアは、私たちが手にしているデータに対して、信じられないほど強力で効果的な武器です。携帯電話やタブレットが、デジタル財布やID、多要素認証、仕事や私生活におけるデータ王国への鍵となっていく中で、正確なデータを求める悪意のあるアクターは、新たな盗み方を見つけてくるでしょう」とRichard Melick氏は述べています。

「PhoneSpyをはじめとするモバイルスパイウェアの例は、これらのツールセットやフレームワークが破壊され、コードや機能を更新して何度も作り直されることで、攻撃者が優位に立てることを示しています。そして、反体制派を標的とする国家から競争相手を監視する企業まで、これらの重要なデバイスの多くには高度なセキュリティが欠けているため、このようなスパイウェアの人気は高まる一方です。"

原文は以下（英文）

https://thehackernews.com/2021/11/researchers-discover-phonespy-malware.html

関連

※１

コマンド&コントロール（C&C）サーバ（C2サーバー）- TREND MICRO

https://www.trendmicro.com/vinfo/jp/security/definition/command-and-control-c-c-server

「コマンド&コントロール（C&C）サーバ」とは、ボットネットや感染コンピュータのネットワークに対し、不正なコマンドを遠隔で頻繁に送信するために利用されるサーバのこと。この用語は、もともと、司令官が目的遂行のために、部隊へ直接指令（command）を送り、制御（control）するといった軍事的な概念から派生したものである。C&Cサーバは、「Internet Relay Chat（IRC）」や正規のWebサイト、ダイナミックDNSサービスを利用することで知られている。例えば、バックドア型マルウェア「BKDR_MAKADOCS.JG」は、セキュリティソフトからの検出を避けるために、自身のC&Cとの通信に「Google ドキュメント」を利用することが確認されている。