Last Updated on 2024-06-14 05:19 by 門倉 朋宏
Arid Viperとして知られる脅威アクターが、AridSpyと呼ばれるスパイウェアを配布するためにトロイの木馬化されたAndroidアプリを利用するモバイルスパイ活動を開始した。このマルウェアは、さまざまなメッセージングアプリ、求人アプリ、パレスチナ民間登録アプリを装った専用ウェブサイトを通じて配布されている。これらのアプリは、AridSpyの悪意のあるコードを追加することでトロイの木馬化された既存のアプリケーションであることが多い。この活動は2022年以降、5つのキャンペーンを通じて行われ、そのうち3つは現在も活動中である。Arid Viperは、2017年の出現以来、モバイルマルウェアを使用して中東の軍人、ジャーナリスト、反体制派を標的にしてきた。最新版のAridSpyは、初期のトロイの木馬化されたアプリによってコマンドアンドコントロール(C2)サーバーから追加のペイロードをダウンロードできるマルチステージトロイの木馬に変更された。攻撃チェーンは主に、偽のサイトを配布ポイントとして機能させ、パレスチナとエジプトのユーザーを標的にしている。偽のアプリの中には、LapizaChat、NortirChat、ReblyChatなどの安全なメッセージングサービスを謳うものがあり、これらはStealthChat、Session、Voxer Walkie Talkie Messengerなどの正規アプリを基にしている。また、あるアプリはパレスチナ民間登録からのものであると主張している。パレスチナ民間登録のウェブサイト(“palcivilreg[.]com”)は2023年5月30日に登録され、専用のFacebookページを通じて広告されている。このウェブサイトを通じて配布されるアプリは、Google Playストアで利用可能な同名のアプリに触発されたものであるが、正規アプリのトロイの木馬化されたバージョンではなく、正規サーバーと通信する独自のクライアント層を作成している。また、ESETは2023年8月に登録されたウェブサイト(“almoshell[.]website”)を通じて、求人アプリのふりをしたAridSpyの配布を発見した。このアプリは正規のアプリに基づいていない。インストール後、この悪意のあるアプリはセキュリティソフトウェアの存在をハードコードされたリストでチェックし、デバイスに何もインストールされていない場合にのみ、最初のステージのペイロードをダウンロードする。このペイロードは、Google Playサービスのアップデートを装っており、トロイの木馬化されたアプリが同じデバイスにインストールされていなくても独立して機能する。最初のステージの主な役割は、次のステージのコンポーネントをダウンロードすることであり、これはC2目的のFirebaseドメインを使用する悪意のある機能を含んでいる。このマルウェアはデバイスからデータを収集するための幅広いコマンドをサポートしており、自身を無効にしたり、モバイルデータプランでのデータの抽出を行うこともできる。データの抽出は、コマンドによってまたは特定のイベントがトリガーされたときに開始される。
【ニュース解説】
Arid Viperと呼ばれる脅威アクターが、AridSpyというスパイウェアを配布するためにトロイの木馬化されたAndroidアプリを利用する新たなモバイルスパイ活動を開始しました。この活動は、メッセージングアプリ、求人アプリ、パレスチナ民間登録アプリを装った専用ウェブサイトを通じて行われています。これらのアプリは、AridSpyの悪意あるコードを追加することでトロイの木馬化された既存のアプリケーションであることが多いです。この活動は2022年以降、複数のキャンペーンを通じて行われており、そのうち3つは現在も活動中です。
Arid Viperは、2017年の出現以来、モバイルマルウェアを使用して中東の軍人、ジャーナリスト、反体制派を標的にしてきました。最新版のAridSpyは、初期のトロイの木馬化されたアプリによってコマンドアンドコントロール(C2)サーバーから追加のペイロードをダウンロードできるマルチステージトロイの木馬に変更されました。攻撃チェーンは主に、偽のサイトを配布ポイントとして機能させ、パレスチナとエジプトのユーザーを標的にしています。
このような攻撃は、個人のプライバシー侵害や情報の盗難に直結し、特に政治的、軍事的な情報が狙われることで、国家安全保障にも影響を及ぼす可能性があります。また、偽のアプリを通じたスパイウェアの配布は、一般ユーザーの間でのセキュリティ意識の向上を促すとともに、アプリのダウンロード元や権限の確認など、セキュリティ対策の重要性を再認識させる機会となります。
この攻撃キャンペーンの発見と公表は、サイバーセキュリティコミュニティにおける情報共有の重要性を示しています。セキュリティ研究者や企業が得た情報を共有することで、新たな脅威に迅速に対応し、防御策を講じることが可能になります。しかし、攻撃者もまた進化し続けるため、セキュリティ技術の発展とともに、ユーザー教育の強化も同時に進める必要があります。
長期的な視点では、このようなスパイウェア攻撃の増加は、モバイルセキュリティ技術のさらなる発展を促すとともに、国際的なサイバーセキュリティ規制の強化や国際協力の必要性を浮き彫りにします。個人ユーザーから企業、政府機関に至るまで、幅広いステークホルダーが協力し、情報共有を行うことが、サイバー脅威に対抗する上での鍵となります。
from Arid Viper Launches Mobile Espionage Campaign with AridSpy Malware.
