Loading...

 

McAfeeが新たなAndroidのマルウェア「SpyAgent」を発見
韓国ユーザーが主な対象、画像認識機能で暗号資産の認証情報を盗む

 

 
 

2024年9月19日

オンラインのセキュリティ対策製品を提供しているマカフィー株式会社(本社:東京都千代田区)は、デバイス上の画像をスキャンしてニーモニックキー(暗号資産を管理するアプリやソフトウェアを復元する際に使われる12の英単語)を狙う 、Android における新種のモバイルマルウェア「SpyAgent」を発見したことを明らかにしました。

このAndroidのマルウェア(悪意のある動作を目的として作られたソフトウェアやコードの総称)は、銀行や政府のサービスからTVストリーミングや公共性があるものに至るまで、様々な信頼性の高いアプリを巧妙に偽装しています。一度インストールすると、これらの偽アプリは、密かにテキストメッセージや連絡先、保存されているすべての画像を収集し、リモートサーバーに送信します。この間、長々と続くローディング画面、予期せぬリダイレクト、そして空白画面などでユーザーの注意をそらします。

マカフィーは、このスキームに関与している 280 以上の偽アプリを確認しました。2024 年に入ってから、ますます韓国のユーザーが標的にされています。マカフィーのモバイルセキュリティ製品は、「SpyAgent」と呼ばれるこの脅威に目を光らせ、消費者がお使いのデバイスの安全を確保します。

「SpyAgent」発生に関する一連のタイムライン
「SpyAgent」発生に関する一連のタイムライン

(図1:「SpyAgent」発生に関する一連のタイムライン)

感染のメカニズム
韓国のユーザーを狙うモバイルマルウェアは、主に巧妙なフィッシングキャンペーンを通じて拡散されます。このような偽のキャンペーンでは、テキストメッセージやソーシャルメディア上のダイレクトメッセージを利用して有害なリンクを送信します。メッセージの背後にいる攻撃者は、多くの場合、組織や信頼できる人物を装い、ユーザーを騙してリンクをクリックさせます。リンクがクリックされると、正規サイトの外観を模倣した、本物そっくりの偽のウェブサイトに誘導されます。こういった偽サイトは通常、アプリのダウンロードを促し、マルウェアがデバイスにインストールされる仕組みになっています。用心深く、クリックする前にメッセージやリンクの信憑性を確認することが肝心です。

偽サイトの表示画面
偽サイトの表示画面

(図2: 偽サイトの表示画面)

ユーザーがリンクをクリックすると、APK(Android Package Kit)ファイルをダウンロードするように促されます。このファイルは正規のアプリのように見えますが、実は悪意のあるソフトウェアです。APKがダウンロードされると、ユーザーはアプリをインストールするよう求められます。インストール中、アプリはSMSメッセージ、連絡先、ストレージなど個人の機密情報にアクセスし、バックグラウンドで実行の許可を要求します。許可は、アプリが適切に機能するために必要なものとして提示されることが多いですが、実際には、ユーザーのプライバシーとセキュリティを侵害する目的で使用されます。

アプリのインストールと許可の要求
アプリのインストールと許可の要求

(図3: アプリのインストールと許可の要求)

マルウェアの能力と動作
アプリがインストールされ起動すると、ユーザーの機密情報が盗み取られ、攻撃者が制御するリモートサーバーに送信されます。

対象となるデータの種類:

  • 連絡先: ユーザーの連絡先全体が抜き取られ、さらなる詐欺行為やマルウェアの拡散に使用される可能性があります。
  • SMSメッセージ: 二要素認証用(二つの要素を用いてユーザーの身元を認証する仕組み)のプライベートコードやその他の重要な情報が含まれるようなSMSメッセージの全てのキャプチャが攻撃者に送信されます。
  • 写真: デバイスに保存されているあらゆる画像が攻撃者のサーバーにアップロードされます。個人的な写真やその他の機密画像も含まれる可能性があります。
  • デバイス情報: OSのバージョンや電話番号など、デバイス自体の詳細が盗まれます。デバイス情報は、攻撃者が悪意のある活動をより効果的にカスタマイズするのに役立ちます。

コマンド・アンド・コントロール・サーバー(C2)の調査
マカフィーのリサーチチームは、いくつかの重要な事実を発見しました。

1. 安全ではないC2(またはC&C)サーバー(コマンド・アンド・コントロール・サーバー:サイバー攻撃者がマルウェアに指令を出し、盗んだ情報を受け取るために使う指令・制御用のサーバー):いくつかのC2サーバーには脆弱なセキュリティ設定があり、認証情報を必要とせずに特定のインデックス・ページやファイルへの不正アクセスが可能であることが判明しました。このセキュリティの欠陥により、サーバーの機能と収集されるデータの種類をより深く調べることができます。

調査によると、サーバーのルート・ディレクトリには複数のフォルダがあり、それぞれが銀行機関や郵便サービスを模倣するなど、異なる手口で編成されていることが判明しました。

サイトが閉鎖される前に公開されたrootのインデックスページ
サイトが閉鎖される前に公開されたrootのインデックスページ

(図4: サイトが閉鎖される前に公開されたrootのインデックスページ)

サーバーの設定ミスにより、意図しない内部情報の公開のみならず、漏洩した被害者の個人情報も一般公開されました。「uploads」ディレクトリには、被害者から収集した写真が収められた個別のフォルダが見つかり、データ漏洩の深刻さが浮き彫りになりました。

「aepost」キャンペーンの被害者の一人から流出したサイトが削除される前の画像リスト
「aepost」キャンペーンの被害者の一人から流出したサイトが削除される前の画像リスト

(図5:「aepost」キャンペーンの被害者の一人から流出したサイトが削除される前の画像リスト)

2. 管理者ページ: 公開されたインデックスページに従って操作すると、被害者を管理するために設計された管理ページにたどり着きます。これらのページには、デバイスのリストが表示され、デバイスの情報や制御可能なさまざまなアクションが表示されていました。被害者の数が増えるほど、デバイスのリストも増えていきます。

管理者コントロールパネル
管理者コントロールパネル

(図6: 管理者コントロールパネル)

3. 暗号資産を管理するアプリやソフトウェアを狙う: 管理画面を調べると、攻撃者の主な目標は、暗号資産アプリのニーモニックキーの入手であることが分かりました。これは、被害者の暗号資産にアクセスし、不正利用に重きを置いていることを示唆しています。

管理画面のOCR詳細
管理画面のOCR詳細

(図7: 管理画面のOCR詳細)

4. データの処理と管理: このマルウェアは、サーバー側でPythonとJavaScriptを利用し、盗まれたデータを処理します。具体的には、光学式文字認識(OCR)技術を使用して画像はテキストに変換され、その後、管理パネルを通じて整理・管理されます。このプロセスは、盗まれた情報の処理と利用が高度であることを示しています。

サーバー側のOCRコード
サーバー側のOCRコード

(図8:サーバー側のOCRコード)

5. 接続の進化
元々マルウェアは、C2サーバーと単純なHTTPリクエストで通信されていました。この方法は効果的な一方、セキュリティ・ツールによる追跡やブロックが比較的容易でした。マルウェアは現在、新たな重要な詐欺の手口として、通信にWebSocket接続を採用しています。このアップグレードにより、C2サーバーとの効率的でリアルタイムな双方向通信が可能になり、従来のHTTPベースのネットワーク監視ツールによる検知を回避できるようになりました。それと同時に、セキュリティ研究者がトラフィックを分析し、悪意のある通信を傍受することがより困難になっています。

マルウェアの難読化技術も大幅に改善され、セキュリティソフトや研究者による検出作業がさらに複雑になっています。APKの難読化では、文字列のエンコーディング、無関係なコードの挿入、関数や変数の名前の変更などの手口を用いて悪意のあるコードを隠すようになっています。これらの方法は、混乱を引き起こすだけでなく、検知プロセスを遅らせ、マルウェアの真の目的をカモフラージュします。

さらに、マルウェアのアプリケーションと標的戦略は拡大しています。最近の調査によると、マルウェアは英国内で拡散しつつあります。これは攻撃者が人口統計的、地理的にも対象の拡大を狙っていることを示唆しており、マルウェアのローカライズされたバージョンで新たなユーザーを狙うものと推測されます。

まとめ
マルウェアの急速な進化は、今日のサイバー脅威の絶え間ない変化と高度な性質を浮き彫りにしています。当初は金銭の貸し付けや政府サービスのアプリを装っていましたが、現在では個人に有益な通知に見せかけて、人々の感情を悪用するようになりました。リサーチチームは、攻撃者がOCR技術を利用して盗んだデータを分析し、金銭的な利益のために悪用していることを発見しました。マルウェアが進化し、より複雑な手口になるにつれ、その次の動きを予測することはますます難しくなっています。サイバー犯罪者は、ユーザー環境への侵入や操作をよりうまく行うために、常にその手口を強化しており、こうした脅威がもたらす危険性は時間の経過とともにエスカレートしています。

マルウェアは被害者の連絡先を利用して詐欺的なSMSメッセージを送信する場合、その範囲は拡大していきます。このようなフィッシングメッセージは、一見親しみのある連絡先から送信されているように見えるため、受信者は信用してしまいがちです。例えば、友人の番号から届いたと思われる通知は、本物であると認識される可能性が高く、特に知らない送信元からのフィッシングに比べ、受信者が詐欺に加担してしまう可能性が大いにあります。このような手口により、詐欺のレイヤー(階層)が広がり、攻撃の有効性とステルス性(秘密裏に実施)が大幅に向上します。このようなマルウェアを早期に発見することは、マルウェアの拡散を防ぎ、潜在的な被害を最小限に留め、さらなる拡大を抑制するために非常に重要です。マカフィーはこれらの動きに対し、アクティブなURLに関連するコンテンツ・プロバイダに報告することで、積極的な対策を講じました。
管理パネルに「iPhone」というラベルが貼られた項目が発見されたことから、このマルウェアの次の開発段階はiOSユーザーをターゲットにしていると想定されます。iOS互換バージョンの直接的な証拠はまだ見つかっていませんが、その存在の可能性は確実です。マカフィーは以前、AndroidとiOSの両プラットフォームに影響を与えるデータの窃取活動を確認しており、サイバー攻撃者がiOS向けのマルウェアの開発に取り組んでいる可能性を示唆しています。iOSのセキュリティには定評がある一方、企業証明書やScaletのようなツールを介して、App Store以外で悪意のあるアプリをインストールする方法がまだ存在するため、これは特に憂慮すべきことです。このようなiOSへのシフトの可能性は、あらゆるモバイルプラットフォームにおける警戒の必要性を浮き彫りにしています。

このような状況では、ユーザーはアプリのインストールやアクセス許可の付与など、自分の行動に慎重になることが極めて重要です。大切な情報は安全に保管し、デバイスから隔離しておくことが望ましいでしょう。セキュリティ・ソフトウェアは、デバイスを保護するための単なる推奨品ではなく、必需品となっています。マカフィーモバイルリサーチチームは、これらの高度な脅威に対抗するための強固なセキュリティ対策を実施し、常に警戒を続けています。マカフィーモバイルセキュリティ製品は、マルウェアだけでなく、その他の不要なソフトウェアを検出し、防御するように設計されています。詳しくは、マカフィーモバイルセキュリティのウェブサイトをご覧ください。

マカフィーについて
マカフィーは、消費者と中小企業向けのオンライン保護のグローバル・リーダーです。デバイスだけでなく人を保護することにも重点を置くマカフィーの消費者および中小企業向けのソリューションは、常時オンラインの世界におけるユーザーのニーズに適応し、適切なタイミングとセキュリティで家族、地域社会、ビジネスを保護する、総合的で直感的なソリューションを通じて、ユーザーが安全に生活できるよう支援します。詳細情報については、https://www.mcafee.com/ja-jp/index.html をご覧ください。
*McAfee、マカフィー、McAfeeのロゴは、米国およびその他の国における米国法人 McAfee, LLCまたはその関連会社の商標又は登録商標です。

【本件に関するお問い合わせ先】
McAfee Japan 広報代理(ウェーバー・シャンドウィック)
E-MAIL: mcafeejp-pr@webershandwick.com