インド支援のサイバー集団、Google Play悪用でスパイアプリ配布

Last Updated on 2024-02-03 09:17 by

インドの国家支援サイバー攻撃グループ「Patchwork」が、Google Playを悪用して、正規のメッセージングおよびニュースサービスに偽装した6つのAndroidスパイアプリを配布していることが発覚しました。これらのアプリは、新たに発見されたリモートアクセストロイの木馬（RAT）「VajraSpy」を搭載しており、電話の通話、SMSメッセージ、ファイル、連絡先などを傍受する機能を持っています。また、WhatsAppやSignalのメッセージを抽出し、電話の通話を録音し、カメラで写真を撮ることも可能です。セキュリティ企業ESETの研究者によってこのキャンペーンが発見され、Google PlayからダウンロードされたRATに感染したアプリケーションは合計で1,400回以上にのぼります。

さらに、ESETのチームは、第三者の非公式アプリストアで配布されている追加の6つのアプリも発見しました。これらの偽アプリには、Privee Talk、MeetMe、Let’s Chat、Quick Chat、Rafagat、Faraqatなどの名前が含まれています。これらのキャンペーンは主にパキスタンのユーザーをターゲットにしており、例えば「Rafaqat」アプリは、Google Play上で開発者名として人気のあるパキスタンのクリケット選手の名前を使用しています。また、アカウント作成時に電話番号を要求するアプリは、デフォルトでパキスタンの国コードが選択されており、セキュリティ上の欠陥を通じて発見された多くの感染デバイスがパキスタンに位置していることが報告されています。

犠牲者を誘うために、サイバー犯罪者は、最初に別のプラットフォームで犠牲者に接触し、その後、トロイの木馬化されたチャットアプリケーションに切り替えるよう説得する、ターゲットを絞ったハニートラップのロマンス詐欺を使用したと報告されています。ESETはこれらのアプリをGoogleに報告し、Playストアから削除されました。

【ニュース解説】

インドの国家支援を受けたサイバー攻撃グループ「Patchwork」が、Google Playを通じて、正規のメッセージングやニュースサービスに見せかけたスパイアプリを配布していたことが明らかになりました。これらのアプリには、「VajraSpy」と呼ばれる新たに発見されたリモートアクセストロイの木馬（RAT）が搭載されており、電話の通話やSMSメッセージ、ファイル、連絡先の情報を傍受する能力を持っています。さらに、WhatsAppやSignalのメッセージを抽出したり、電話の通話を録音したり、カメラで写真を撮ることも可能です。セキュリティ企業ESETの研究者たちによってこのキャンペーンが発見され、Google Playからダウンロードされたこれらのアプリは1,400回以上に及ぶダウンロードがあったことが報告されています。

この攻撃キャンペーンは主にパキスタンのユーザーをターゲットにしており、特定のアプリはパキスタンの人気クリケット選手の名前を開発者名として使用するなど、地域に特化した戦略が取られていました。また、アプリが電話番号の入力を要求する際には、パキスタンの国コードがデフォルトで選択されているなど、ターゲットを絞った設計がなされていました。

犠牲者を誘うために、サイバー犯罪者はハニートラップのロマンス詐欺を使用し、最初に別のプラットフォームで犠牲者に接触した後、トロイの木馬化されたチャットアプリケーションに切り替えるよう説得していました。このような手法により、ユーザーは自らの意志でスパイアプリをダウンロードし、自分のデバイスを危険にさらしてしまうことになります。

この事件は、公式のアプリストアであっても、悪意のあるアプリが配布されるリスクがあることを示しています。ユーザーはアプリをダウンロードする際に、開発者の信頼性やアプリのレビューを慎重に確認する必要があります。また、セキュリティ企業や研究者の役割が非常に重要であり、彼らの継続的な監視と報告がサイバーセキュリティを保つために不可欠です。

このようなサイバー攻撃は、国家間の緊張関係を反映している場合が多く、サイバー空間が新たな戦場となっていることを物語っています。個人レベルだけでなく、国家レベルでのセキュリティ対策の強化が求められています。また、この事件は、国際的なサイバーセキュリティ規制や協力体制の重要性を浮き彫りにしており、国境を越えた情報共有や対策の強化が今後さらに重要になってくるでしょう。

from Google Play Used to Spread 'Patchwork' APT's Espionage Apps.