トレンドマイクロでは、不正サイト上で「Apex App」という名称のチャットアプリを偽装した新たな不正アプリを確認しました。この偽装アプリは、諜報活動に関する様々な動作を示すことから、標的型攻撃キャンペーンに使用される目的で作成されたものと推測されます。トレンドマイクロでは、2019年5月にこの不正サイト上で当時は「Chatrious」という名称のチャットアプリとして説明されていた偽装アプリを確認しています。サイト上のダウンロードボタンを利用者がクリックすることで、不正な「Androidアプリケーションパッケージ(APK)」のファイルがダウンロードされます。
この不正サイトは、2019年5月以降、ほぼ数か月にわたり休止状態となっていました。そして2019年10月活動再開始したこの不正サイト上で入手できる偽装アプリは、「Apex App」という名称に変更されていました。この偽装アプリがユーザの個人情報窃取の機能を備えていることから、トレンドマイクロではスパイウェアのファミリーと断定し、2019年5月に確認された偽装アプリも合わせ、いずれも「AndroidOS_CallerSpy.HRX」として検出対応しています。
および「Apex-App」(右).png)
図1:偽装アプリ「Chatrious」(左)および「Apex App」(右)
偽装アプリの不正活動
CallerSpyは「チャットアプリである」と記載されていますが、実際にはチャット機能が一切なく、代わりに情報窃取などの諜報活動機能が満載されていました。この偽装アプリがユーザのAndroidデバイス上で起動されると、まずWebアプリケーションライブラリ「Socket.IO」を介してコマンド&コントロール(C&C)サーバと接続し、接続先からのコマンドを待機します。そしてAndroidライブラリ「Evernote Android-Job」を用いてバックグラウンドジョブのスケジューリングを開始し、ユーザの個人情報を窃取します。
およびバックグラウンドジョブのスケジューリング(右).png)
図2:CallerSpyによるC&Cサーバへの接続(左)
およびバックグラウンドジョブのスケジューリング(右)
CallerSpyは、複数のバックグラウンドジョブのスケジュールを設定し、デバイス上の通話履歴、SMS、連絡先、ファイル等を窃取します。また、C&Cサーバから受信したコマンドにより、デバイス上のスクリーンショットを取得し、C&Cサーバへ送信します。
図3:CallerSpyにスケジューリングされたバックグラウンドジョブ
| ソース | コマンドの内容 |
| alive_latest_files_watcher | 最新ファイルの監視を開始して活動を継続させる |
| enviorment_schedulers | 環境記録のモジュールを設定する |
| keep_enviorment_scehdular_alive | 環境スケジューラを開始して活動を継続させる |
| keep_listener_alive | リスナーを開始して継続させる |
| latest_files_watcher | 最新の通話履歴、SMSメッセージ、コンタクト、ファイルを収集する |
| listeners | 設定を更新し、スクリーンショットを取得する |
| record_enviorment | 環境を記録する |
| remote_sync | 遠隔のC&Cサーバへデバイスのファイル情報をアップロードする |
| sync_data_locally | デバイス上のすべての通話履歴、SMSメッセージ、コンタクト、ファイル情報を収集する |
窃取されたすべての情報は、まずデバイス内に保存され、定期的にC&Cサーバにアップロードされます。このスパイウェアは、jpg、jpeg、png、docx、xls、xlsx、ppt、pptx、pdf、doc、txt、csv、aac、amr、m4a、opus、wav、amrの拡張子を持つファイルを情報窃取の対象としています。
図4:デバイス内に保存されたファイル情報
C&Cサーバからコマンドを受けて端末のスクリーンショットを取得することもできます。取得されたスクリーンショットは、Base64でエンコードされ、事前に設定されたSocket.IOの接続を介してC&Cサーバへ送信されます。
、スクリーンショットを収集して送信する(右).png)
図5:C&Cサーバからのコメントの待機し(左)
スクリーンショットを収集して送信する(右)
偽装アプリを頒布する不正サイトの詳細
今回確認された不正サイトは、Google関連のサイトに偽装して、ユーザにアプリをダウンロードさせます。サイト下部には、偽の著作権表示まで掲載されています。
![図6:偽の著作権表示](https://blog.trendmicro.co.jp/wp-content/uploads/2019/12/図6:偽の著作権表示.png")
図6:偽の著作権表示
今回の攻撃キャンペーンでは、活動の痕跡を隠す工夫も確認されました。ドメイン登録のデータベース「Whois Lookup」によると、このフィッシングサイトのドメインは、2019年2月11日にドメインレジストラ「Namecheap」から取得されたことが分かりますが、登録者データは追跡不可能の状況となっています。なお、Namecheapなどが提供するドメインでは、プライバシー保護の目的から登録者情報は追跡不可能となっていることが一般的です。
図7:フィッシングサイトの登録情報
トレンドマイクロでは、今回の攻撃で使用されているC&CサーバのIPアドレス4件を把握し、いずれも正規のサービス上にホストされていたことを確認しました。また、これらC&Cサーバのサービスは、サーバ処理を制御するプログラミング言語「Node.js」を3000番ポート上で使用していました。
新たな攻撃キャンペーンの初期段階の可能性
本記事執筆の時点でマルウェア検出データベース「VirusTotal」で認識されていないことから、この不正アプリは広い範囲へ拡散しているものではないと考えられます。トレンドマイクロでは、上述の詳細や過去の調査結果から、この不正アプリは新たな標的型攻撃キャンペーンの一部である可能性が高いと考えています。
図8:VirusTotalによる検出結果
現時点ではこの攻撃キャンペーンの具体的な標的はまだはっきりしていません。ただし、少なくとも以下の理由から、この偽装アプリの不正活動が攻撃キャンペーンの初期段階であると推測されます。
- 偽アプリとしてのCallerSpyは、各種機能から標的型攻撃のために作成されたように見える。チャットアプリとしてはユーザーインターフェイス(UI)の面からも何ら実用的な機能はなく、諜報活動に特化した機能のみを備え、アプリの初期設定アイコンには、遠隔操作や情報窃取を示唆する「rat」という名称が付記され、アプリ内にいくつかのデバッグコードが残っていることも確認された
、アプリ内のデバッグコード(右).png)
図9:偽アプリ「CallerSpy」のアイコン(左)
アプリ内のデバッグコード(右)
- 確認された認証情報は、このアプリが何らかのテストでしか使用されていないことを示している
図10:確認された認証情報一覧
- フィッシングサイトのダウンロードボタンからは、Apple、Android、Windowsと3つのプラットフォームに対応しているように見えるが、実際にはAndroidにしか対応していない。これは攻撃の標的がAndroidを使用していると特定しているからと推測される
図11:複数のプラットフォームに対応しているように見える
アプリのダウンロードボタン
- 今のところトレンドマイクロの監視下では大規模な感染被害は確認されておらず、マルウェア拡散などの攻撃開始の機会をうかがっている段階であると推測される
トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」技術や「Web レピュテーション(WRS)」技術により、不正/迷惑アプリの検出や、関連する不正 Webサイトのブロックに対応しています。
「Trend Micro Mobile Security」は、モバイルデバイス、アプリケーション、データの可視化と制御を標準装備の単一コンソールで実現するとともに、脆弱性攻撃や不正アクセスから端末を保護し、マルウェアや不正なWebサイトをブロックします。
侵入の痕跡(Indicators of Compromise 、IoCs)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
参考記事:
- 「Mobile Cyberespionage Campaign Distributed Through CallerSpy Mounts Initial Phase of a Targeted Attack」
by Ecular Xu (Mobile Threat Response Engineer)
翻訳: 与那城 務(Core Technology Marketing, Trend Micro™ Research)