ESETは6月13日(現地時間)、「Arid Viper poisons Android apps with AridSpy」において、エジプトおよびパレスチナのAndroidユーザーを標的とする5つのサイバー攻撃のキャンペーンを特定したと報じた。これらキャンペーンは持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Arid Viper」によって実行されたとみられている。
Arid Viper poisons Android apps with AridSpy
○初期の感染経路は偽のAndroidアプリ配布
ESETの調査によると、これら5つのキャンペーンは2022年から開始され、そのうち3つが現在も進行中とされる。いずれも検出を回避するために「AridSpy」と名付けられたマルウェアを展開する。初期の感染経路は偽のAndroidアプリを配布する手段が使われる。
これまでの調査で、メッセージングアプリ、求人情報アプリ、パレスチナ市民登録アプリに偽装したことがわかっており、これら偽アプリは既存のアプリに悪意のあるコードを追加する方法で作成されたとみられている。
現在アクティブなキャンペーンでは、NortirChat、LapizaChat、ReblyChatと称する偽アプリを配布する。これらアプリは公式のGoogle Playストアから配布されたことはなく、サードパーティーのアプリサイトから配布されるとしている。
偽アプリの配布サイトの例 引用:ESET
○侵害経路
ESETの分析によると、これらキャンペーンで使用されたマルウェア「AridSpy」はキャンペーンを経るごとに進化したという。初期は単一のアプリケーションとして実装されていたが、最新版では多段階のトロイの木馬となり、第1段階のトロイの木馬がコマンド&コントロール(C2: Command and Control)サーバから後続のマルウェアを展開する仕組みに進化したとされる。
AridSpyの侵害経路 引用:ESET
○マルウェア「AridSpy」の概要
AridSpyはデバイスにセキュリティソリューションがインストールされているかどうかを確認し、存在しない場合に限り、後続のペイロードをダウンロードして展開する。後続のペイロードは偽アプリと独立して動作するように設計されており、偽アプリを削除してもマルウェアを削除することはできない。
最終的に展開されるペイロードにはさまざまな情報窃取機能があるとされる。中でも、フロントカメラの写真撮影機能には、被害者の顔写真を確実に窃取するための特別な実装が施されているという。ESETの分析によると前回の撮影から40分以上経過し、なおかつバッテリー残量が15%以上の場合にデバイスのロックまたはアンロックの直後に撮影を試みるとされる。
○対策
このキャンペーンで配布された悪意のあるアプリはサードパーティーのWebサイトから配布されている。そのため、このような攻撃を回避するために、Androidユーザーには公式のGoogle Playストアからのみアプリをインストールすることが推奨されている。
また、ESETは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
ハピタス
ITトピックス
ITランキング
- 1
コロナ禍で倒産危機の企業…オンキヨー、ANA、日本郵政も?画像あり
- 2
NearMe、日の丸交通との“シェア乗り”サービスを拡大!『シェア乗りタクシー』としてリニューアル運行を開始画像あり
- 3
グローバルWeb3最前線へ!IVS Crypto 2024 KYOTOとJapan Blockchain Week 2024のアジェンダを発表【IVS2024/Crypto 2024】画像あり
- 4
米当局、Kaspersky製品の提供禁止を発表 - アップデートも禁止画像あり
- 5
Yahoo!広告、広告換算費約302億円分を非課金化 - なりすまし広告への対応は画像あり
- 6
「どうあるべきか」を追求し、価値を再定義する。SUBARUと小川秀樹氏のコネクティッド領域での挑戦画像あり
- 7
開幕セレモニー&オープニングイベント!オダイバ恐竜博覧会2024−福井から“ヤツラ”が新幹線でやってくる−、フジテレビ本社屋にて開催画像あり
- 8
顧客に自衛隊施設も。ビルメンテナンス業者を倒産に追い込んだ「資格ランク」画像あり
- 9
パナソニック コネクト、生成AI導入して1年で労働時間を18.6万時間削減画像あり
- 10
ウイングアーク1st、Boxコンテンツデータを「MotionBoard」上で統合・可視化する連携画像あり