Last Updated on 2024-04-11 05:30 by admin

スロバキアのサイバーセキュリティ企業によると、2021年11月から活動している「eXotic Visit」と名付けられたAndroidマルウェアキャンペーンが、特にインドとパキスタンのユーザーを標的にしている。このマルウェアは専用のウェブサイトとGoogle Playストアを通じて配布されている。この活動は既知の脅威アクターやグループにはリンクされておらず、「Virtual Invaders」という名前で運営グループを追跡している。

ダウンロードされたアプリは正当な機能を提供するが、オープンソースのAndroid XploitSPY RATのコードも含んでいる。キャンペーンは非常にターゲット指向であり、Google Playで利用可能なアプリのインストール数はゼロから45とわずかである。これらのアプリは既に削除されている。偽装されたが機能するアプリは、メッセージングサービスとしてAlpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger、Zaangi Chatなどに偽装している。約380人の被害者がこれらのアプリをダウンロードし、メッセージング目的でアカウントを作成したとされる。

また、eXotic Visitキャンペーンには、パキスタンの電話番号を入力するだけでSIM所有者の詳細を提供すると主張するSim InfoやTelco DBなどのアプリも使用されている。その他のアプリは、パキスタンの食品注文サービスや、現在はTrilife Hospitalとして再ブランドされた正当なインドの病院であるSpecialist Hospitalとして偽装されている。

XploitSPYは、2020年4月にRaoMKというユーザー名でGitHubにアップロードされ、インドのサイバーセキュリティソリューション会社XploitWizerと関連付けられている。これは、AhMythからインスピレーションを得た別のオープンソースAndroidトロイの木馬であるL3MONのフォークとしても説明されている。GPS位置情報、マイク録音、連絡先、SMSメッセージ、通話記録、クリップボードの内容を収集する機能を備え、WhatsApp、Facebook、Instagram、Gmailなどのアプリからの通知詳細を抽出し、ファイルのダウンロードとアップロード、インストールされたアプリの表示、コマンドのキューなどが可能である。

さらに、悪意のあるアプリは写真を撮影し、スクリーンショット、WhatsApp、WhatsApp Business、Telegram、非公式のWhatsAppモッドであるGBWhatsAppに関連するいくつかのディレクトリ内のファイルを列挙するように設計されている。これらの脅威アクターは、年月を経て、難読化、エミュレータ検出、コマンドアンドコントロールアドレスの隠蔽、ネイティブライブラリの使用など、悪意のあるコードをカスタマイズしてきた。エミュレータが検出されると、アプリは偽のC2サーバーを使用して検出を回避する。いくつかのアプリは、この目的のために特別に作成されたウェブサイト（”chitchat.ngrok[.]io”）を通じて広められ、GitHub上にホストされたAndroidパッケージファイル（”ChitChat.apk”）へのリンクを提供している。被害者がこれらのアプリにどのように誘導されるかは現在不明である。キャンペーンの目的はスパイ活動であり、おそらくパキスタンとインドの被害者を標的にしていると結論付けられている。

【ニュース解説】

2021年11月から活動している「eXotic Visit」と名付けられたAndroidマルウェアキャンペーンが、特にインドとパキスタンのユーザーを標的にしています。このキャンペーンは、専用のウェブサイトやGoogle Playストアを通じてマルウェアを配布しており、その背後には「Virtual Invaders」と名付けられた未知の運営グループが存在します。

このキャンペーンで配布されるアプリは、一見正当な機能を提供するものの、オープンソースのAndroid XploitSPY RATのコードを含んでおり、非常にターゲット指向の性質を持っています。Google Playでのインストール数は非常に少なく、これらのアプリは既に削除されています。偽装されたアプリは、メッセージングサービスやSIM情報提供サービス、食品注文サービス、病院のアプリなど、多岐にわたります。

XploitSPYは、GPS位置情報、マイク録音、連絡先、SMSメッセージ、通話記録、クリップボードの内容など、感染したデバイスから様々な機密データを収集する機能を持っています。また、WhatsAppやFacebookなどのアプリからの通知詳細を抽出することも可能です。このマルウェアは、写真の撮影や特定のディレクトリ内のファイルの列挙など、さらに侵入的な行動も行います。

このキャンペーンの目的はスパイ活動であり、特にパキスタンとインドのユーザーが標的にされています。このようなマルウェアキャンペーンは、個人のプライバシー侵害だけでなく、国家安全保障にも影響を及ぼす可能性があります。また、Google Playストアを含む公式のアプリ配布プラットフォームでさえも、悪意あるアクターによって悪用され得ることを示しています。

この事例は、ユーザーに対して、ダウンロードするアプリの出所を慎重に確認し、セキュリティ対策を常に最新の状態に保つことの重要性を改めて強調しています。また、アプリ開発者や配布プラットフォームに対しても、セキュリティ審査の厳格化と迅速な対応が求められます。長期的には、より高度なセキュリティ技術の開発と、国際的なサイバーセキュリティ協力の強化が、このような脅威に対抗する鍵となるでしょう。

from 'eXotic Visit' Spyware Campaign Targets Android Users in India and Pakistan.

admin

See Full Bio