危険!偽の信号および電報アプリケーションには、Google PlayストアのKejam Nangiringスパイウェアが含まれています
ジャカルタ - シグナルとテレグラムを装った偽のアプリケーションは、Google PlayストアとBadBazaarスパイウェアを含むSamsung Galaxy Storeの研究者によって発見されました。
BadBazaar自体は、デバイスの位置を正確に追跡し、通話またはSMSのログを盗み、電話を録画し、カメラを使用して写真を撮り、連絡先リストをフィルタリングし、ファイルまたはデータベースを盗む機能を備えています。
このマルウェアは、以前は中国の少数民族を標的にするために使用されていましたが、今回はセキュリティ会社ESETの研究者であるLukas Stefankoが、攻撃者がウクライナ、ポーランド、オランダ、スペイン、ポルトガル、ドイツ、香港、米国(US)のユーザーを標的にしていることを発見しました。
Signal Plus Messengerと名付けられた2つの偽のアプリは、ESETから通知を受けた後、Googleが昨年4月に削除する前に約100回ダウンロードされていました。
サムスンのアプリストアや、公式の Signal.org を模した専用のウェブサイトであるsignplus pribadorgでも利用できます。FlyGramという名前の偽のTelegramアプリもあり、5,000回ダウンロードされ、同じ脅威アクターによって作成され、3つの同様のチャネルを通じて利用できます。
Googleは2021年からそれを削除しました。ただし、これらの2つのアプリはサムスンギャラクシーストアで引き続き利用できます。調査結果から、Signal Plus MessengerとFlyGramは、元のSignalとTelegramから利用可能なオープンソースコードに基づいて作成されました。そのコードに絡み合っているのはバッドバザールです。
FlyGramマルウェアは、テレグラムウイグルグループでも共有されています。このアプリは、連絡先リスト、通話履歴、Googleアカウント、WiFiデータなどの機密データをターゲットにしており、攻撃者が制御するサーバーにTelegram通信データを送信するための悪意のあるバックアップ機能を提供します。
シグナルプラスメッセンジャーは、誰かが最初にデバイスにアプリをインストールしたときに、いつものように、感染したデバイスをSignalの正当な番号に接続した場合に送受信されたメッセージや連絡先を監視できます。
これにより、偽のアプリは、デバイスのIMEI番号、電話番号、MACアドレス、オペレーターの詳細、位置データ、Wi-Fi情報、Googleアカウントの電子メール、連絡先リスト、ユーザーによって設定された場合のテキスト転送に使用されるPINなど、多くの個人情報を攻撃者に送信します。
「Signal Plus Messengerは、リンクデバイスの機能を悪用することでSignalメッセージをスパイすることができます。これは、侵害されたデバイスを攻撃者のSignalデバイスに自動的に接続することによって行われます」と、8月31日木曜日のArsTechnicaとBleepingComputerから引用されたStefanko氏は述べています。
「このスパイ方法は、この機能が他のマルウェアによって悪用されているのを見たことがなく、攻撃者がSignalメッセージのコンテンツを取得するために使用する唯一の方法であるため、ユニークです。
Stefanko氏は、BadBazaarはC&CサーバーからURIを受信することで、通常のQRコードスキャンとユーザーのクリックプロセスをバイパスし、デバイスのリンクボタンがクリックされたときに必要なアクションを即座にトリガーできると説明しました。
「これにより、マルウェアは被害者のスマートフォンを攻撃者のデバイスに密かに接続でき、被害者の知らないうちにSignal通信をスパイすることができます」とStefanko氏は述べています。
彼は、調査中、サーバーはデバイスへのリンクのためにURIを返さなかったと付け加え、マルウェアが以前にC&Cサーバーに送信したデータに基づいて、特定のターゲットユーザーに対してのみ有効になる可能性が高いことを示唆しています。
「偽のSignalやその他の悪意のあるメッセージングアプリの被害者になるのを防ぐ唯一の方法は、公式チャンネルからのみ、アプリケーションの公式バージョンをダウンロードすることです」とStefanko氏は述べています。