SpyNote、BadBazaar、MOONSHINE：進化するモバイルマルウェアの脅威と国家レベルのサイバースパイ活動

2025年4月12日11:21

サイバーセキュリティニュース

SpyNote、BadBazaar、MOONSHINE：進化するモバイルマルウェアの脅威と国家レベルのサイバースパイ活動 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-12 11:21 by admin

サイバーセキュリティ研究者らは、脅威アクターが偽のGoogle Play Storeページを通じて「SpyNote」と呼ばれるAndroidマルウェアを配信していることを発見しました。このマルウェアは、被害者のデバイスから機密データを収集し、カメラやマイクの遠隔操作などの機能を持つリモートアクセストロイの木馬です。

また、オーストラリア、カナダ、ドイツ、ニュージーランド、イギリス、アメリカのサイバーセキュリティおよび情報機関は、「BadBazaar」と「MOONSHINE」というマルウェアがウイグル人、台湾人、チベット人コミュニティを標的にしていると警告しています。これらのマルウェアもAndroidとiOSデバイスから位置情報やメッセージなどの機密データを収集する能力を持っています。

Lookoutの調査によると、2024年には400万件以上のモバイル向けソーシャルエンジニアリング攻撃が観測され、企業デバイスで427,000の悪意のあるアプリと1,600,000の脆弱なアプリが検出されました。また、過去5年間でiOSユーザーはAndroidユーザーよりも著しく多くのフィッシング攻撃にさらされており、2024年にはiOSデバイスがAndroidデバイスの2倍以上フィッシング攻撃を受けました。

これらのマルウェアの背後には、国家支援のハッキンググループの存在が指摘されています。特にBadBazaarはAPT15（別名：Flea、Nylon Typhoon、Playful Taurus、Royal APT、Vixen Panda）と呼ばれる中国のハッキンググループに関連付けられています。

from:SpyNote, BadBazaar, MOONSHINE Malware Target Android and iOS Users via Fake Apps

【編集部解説】

最新のサイバーセキュリティ脅威に関する重要な報告が、複数の国際的な情報機関から発表されました。SpyNote、BadBazaar、MOONSHINEという3つのマルウェアが、巧妙な手法でAndroidとiOSユーザーを標的にしている実態が明らかになっています。

これらのマルウェアの特徴的な点は、その配布方法にあります。SpyNoteの場合、Google Play Storeの公式ページを模した偽サイトを通じて拡散されています。これらの偽サイトは見た目が本物そっくりで、画像カルーセルやインストールボタンなど、細部まで再現されているため、一般ユーザーが見分けるのは非常に困難です。

また、BadBazaarとMOONSHINEは特定のコミュニティを標的にした、より政治的な意図を持つマルウェアと考えられています。ウイグル語のコーラン（Quran）アプリやチベット関連のアプリなど、特定のコミュニティが関心を持つアプリを装って配布されているのが特徴です。

これらのマルウェアが持つ能力は驚くべきものです。SMS、連絡先、通話ログの傍受だけでなく、カメラやマイクの遠隔操作、キーロガー機能によるパスワードや二要素認証コードの窃取、GPS位置情報の追跡、通話の録音など、プライバシーを完全に侵害する機能を備えています。

特に注目すべきは、これらのマルウェアがアクセシビリティサービスを悪用して自己防衛機能を持っている点です。DomainToolsの報告によると、SpyNoteはその持続性から完全な除去には工場出荷時の状態へのリセットが必要なほど、頑強な作りになっています。

これらの攻撃は単なるサイバー犯罪の域を超え、国家間のサイバースパイ活動の一環として行われている可能性が高いです。特に少数民族や政治的に敏感なグループを標的にしていることから、監視と情報収集を目的としていると考えられます。

私たちユーザーにとって重要なのは、アプリのインストールには公式のアプリストアのみを利用し、不審なリンクからのダウンロードを避けることです。また、アプリがリクエストする権限に注意を払い、必要以上の権限を要求するアプリには警戒する必要があります。

モバイルデバイスは私たちの生活に欠かせないものになっていますが、同時に私たちの最もプライベートな情報を保持するデバイスでもあります。今回のような高度なマルウェアの出現は、モバイルセキュリティの重要性を改めて認識させるものです。

テクノロジーの進化とともに、サイバー攻撃の手法も洗練されていきます。今後も継続的な警戒と、セキュリティ意識の向上が必要とされるでしょう。

【用語解説】

リモートアクセストロイの木馬（RAT）:
攻撃者が被害者のデバイスに遠隔からアクセスして制御できるマルウェアの一種。

アクセシビリティサービス:
Androidの障害者支援機能。本来は視覚障害者などの操作を補助するためのものだが、マルウェアに悪用されると画面の読み取りや操作の自動化に使われる。

APT（Advanced Persistent Threat）: 特定の組織や国を標的とした、長期間にわたる組織的なサイバー攻撃活動。

C2サーバー（Command and Control）:
マルウェアを遠隔操作するための指令サーバー。マルウェアはこのサーバーから命令を受け取り、盗んだデータを送信する。

ドロッパー:
本体のマルウェアをインストールするための最初の段階のマルウェア。トロイの木馬のように、一見無害に見えるが内部に悪意のあるコードを隠し持っている。

スパイウェア:
ユーザーの知らないうちに情報を収集し、外部に送信するマルウェア。部屋に隠しカメラを仕掛けられているようなもの。

【参考リンク】

DomainTools（外部）
ドメインとDNSベースのサイバー脅威インテリジェンスを提供する企業。SpyNoteの分析を実施。

Lookout（外部）
モバイルセキュリティに特化した企業。BadBazaarマルウェアの分析と発見で知られる。

Zimperium（外部）
モバイルデバイスのセキュリティに特化した企業。SpyNoteとGigabudの関連性を分析。

F-Secure（外部）
フィンランドに本社を置く老舗のサイバーセキュリティ企業。SpyNoteの詳細分析を公開。

NCSC UK（外部）
英国のサイバーセキュリティを担当する政府機関。BadBazaarとMOONSHINEに関する警告を発表。

【編集部後記】

SpyNoteマルウェアは、一度感染すると非常に除去が困難であることが特徴です。F-Secureの分析によると、アンインストールを試みると設定画面が自動的に閉じられ、開発者オプションからのサービス停止も防止されます。完全な除去には工場出荷時の状態へのリセットが必要となる場合が多いです。

BadBazaarは主に中国国内外のウイグル人やチベット人コミュニティを標的としており、宗教的過激主義や分離主義の兆候とされる「前犯罪的」活動を追跡するために使用されていると考えられています。これらのマルウェアは、メッセージングアプリ、ユーティリティ、宗教アプリなどに偽装して配布されることが多いです。

MOONSHINEは主にEarth Minotaurと呼ばれる脅威アクターによって使用され、チベット人とウイグル人を対象とした長期的な監視作戦に利用されています。政府発表や新型コロナウイルス関連ニュース、宗教関連ニュースなどを装った攻撃リンクを通じて拡散しています。

皆さんのスマートフォンは、どのようなアプリをインストールしていますか？公式ストア以外からダウンロードしたアプリはありませんか？今回紹介したマルウェアの手口は日々巧妙化しています。「このアプリだけは大丈夫」という油断が危険を招くかもしれません。普段から不審なリンクには触れない、アプリの要求する権限を確認するなど、小さな習慣が大きな防御になります。皆さんはどのようなセキュリティ対策を実践していますか？ぜひSNSで共有してください。