トレンドマイクロは2020年3月末、サイバー諜報活動と推測されるキャンペーンを確認し、「Project Spy(プロジェクトスパイ)」と名付けました。Project Spyは、Android端末の場合「AndroidOS_ProjectSpy.HRX」、 iOS端末であれば「IOS_ProjectSpy.A」として検出される情報窃取型不正アプリ(スパイウェア)を感染させます。Project Spyは新型コロナウイルスの世界的流行をおとりとして利用し、「Corona Updates」というアプリに偽装し不正アプリを配布していました。しかし調査をするうちに、それよりも以前に配布されていたGoogleサービスと音楽のアプリを偽装する初期バージョンも確認できました。なお、これらの不正アプリは、パキスタン、インド、アフガニスタン、バングラデシュ、イラン、サウジアラビア、オーストリア、ルーマニア、グレナダ、ロシアにおいてダウンロードされており、そのダウンロード数は比較的少数であったことも確認されています。
■Project Spyの活動
トレンドマイクロは2020年3月末、新型コロナウイルス最新情報アプリ、「Corona Update」になりすます不正アプリを発見し、使用されているバックエンドサーバのログインページに基づき、「ProjectSpy」と名付けました。
サーバのアドレスとログイン認証情報は、不正アプリ「Corona Updates」のコード内に確認された
不正アプリ「Corona Updates」は、以下の情報を自身のサーバへアップロードします。
- 各種メッセージングアプリ(SMS、WhatsApp、Telegram、Facebook、Threema)のメッセージ
- 音声メモ、保存されている連絡先、アカウント、通話履歴、位置情報、画像
- 収集した端末情報の拡張リスト(IMEI、製品、ボード、メーカー、タグ、ホスト、Androidバージョン、アプリケーションバージョン、名前、型名、ブランド、ユーザ、シリアル、ハードウェア、ブートローダ、端末IDなど)
- SIM情報(IMSI、オペレーターコード、国、MCCモバイルの国、SIMシリアル、オペレータ名、携帯電話番号など)
- Wi-Fi情報(SSID、Wi-Fi速度、MACアドレスなど)
- その他の情報(ディスプレイ、日付、時刻、指紋、作成日、更新日など)
不正アプリは通知へのアクセス許可を悪用します。通知される内容を読み取り、それをデータベースに保存することにより複数の代表的なメッセージングアプリからメッセージを窃取することができます。また、不正アプリは、追加ストレージへのアクセス許可も要求します。
■確認されたProject Spyの初期バージョン
トレンドマイクロのマルウェアサンプルのデータベースでドメインを検索したところ、Corona Updateアプリは、2019年5月に検出された別のマルウェアの更新版であることがわかりました。
この最初のバージョン(「AndroidOS_SpyAgent.HRXB」として検出)では、以下の機能が確認されました。
- 端末とシステム情報(IMEI、端末ID、製造元、型名、電話番号など)、位置情報、保存されている連絡先、通話ログを収集する
- SMSを収集して送信する
- カメラで写真を撮影する
- 記録されたMP4ファイルをアップロードする
- 通話を監視する
さらに調査すると、Project Spyの2番目のバージョンの可能性がある別のサンプルも見つかりました。このバージョンはアプリ名「Wabi Music」として配布され、人気の動画共有サービスを複製してバックエンドのログインページとして利用していました。この2番目のバージョンのGoogle Play記載の開発者名は「concipit1248」で、2019年5月から2020年2月まで配布されていた可能性があり、2020年3月にGoogle Playから消失したようです。
とそのログインページ(右).png)
Project Spy の2番目のバージョンも最初のバージョンと同様の機能を備えており、さらに以下が追加されていました。
- WhatsApp、Facebook、Telegramから送信された通知を窃取する
- 録画をアップロードするFTPモードを破棄する
アプリの想定機能と外観の変更以外では、2番目と3番目のバージョンのコードにほとんど違いは見られませんでした。
■iOSアプリを偽装するProject Spy
確認されたコードと開発者名「Concipit1248」を手掛かりに他のバージョンについて調査したところ、iOS端末向け正規アプリストアである「App Store」にも2つのアプリが見つかりました。
図7:App Storeで配布される不正アプリ。開発者は「Concipit Shop」
「Concipit1248」によるiOSアプリをさらに解析すると、使用されているサーバspy[.]cashnow[.]eeは、Project SpyのAndroid向けアプリが使用するサーバと同じであることが判明しました。
「Concipit1248」によるアプリは、端末のカメラの起動と写真の読み取りのためのアクセス許可を要求しますが、コードによると自己完結型(self-contained)PNGファイルのみをリモートのサーバにアップロードすることしかできません。 これは、「Concipit1248」によるアプリがまだ開発段階にあることを示す可能性があります。
同じ開発者によるもう一つのiOSアプリ「Concipit Shop」は一見したところ通常のアプリで、2019年11月に更新されていました。しかし、Appleは、コードを解析した結果これら2つのiOSアプリが機能していないと判断し、サンドボックスによって不正な活動が検出されブロックされると報告しています。
■結論
不正アプリ「Corona Updates」のダウンロード数は比較的少なく、パキスタン、インド、アフガニスタン、バングラデシュ、イラン、サウジアラビア、オーストリア、ルーマニア、グレナダ、ロシアで確認されています。アプリの虚偽の機能が、ダウンロード数の低迷に反映されたのかもしれません。または、まだ開発中あるいは実験段階にあり、不正活動を展開するためのタイミングをうかがっている可能性もあります。他の手法をテストするためにアプリが使用されている可能性も考えられます。そのタイミングを計るための指標は、アプリのダウンロード数すなわち感染端末数が一定の数量に達したときかもしれません。
コーディングの様式から、このキャンペーンの背後には、あまり熟達していないサイバー犯罪者がいることが推測されています。このキャンペーンで使用されている不完全なiOSのコードは、他のサイバー犯罪者やサービスから購入したものにいくつかの機能を追加したものであると推測されます。これも、アプリが実験段階から完全に機能するまでの途上にあることを表していると言えます。Project Spyはこれまで確認されたことのないサイバー犯罪者グループによるキャンペーンであり、トレンドマイクロでは、このキャンペーンを引き続き監視していきます。
■被害に遭わないためには
アプリを入手する際には、ダウンロード前にアプリの表示画面や説明文、機能、他のユーザによるレビュー、要求されるアクセス権限などのポイントについて不審な点がないか確認してください。端末にすでにインストールされている他のアプリと端末のオペレーティングシステム(OS)が最新のバージョンに更新されていることも確認してください。
■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスター モバイル」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」技術や「Web レピュテーション(WRS)」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正 Web サイトのブロックに対応しています。
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
参考記事:
- 「Coronavirus Update App Leads to Project Spy Android and iOS Spyware」
By Tony Bao and Junzhi Lu
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)