香港のニュース記事を囮にして拡散する情報窃取型モバイルマルウェアを解説

トレンドマイクロでは、香港のiOSユーザを狙う水飲み場型攻撃を確認しました。この活動では、さまざまなニュース記事につながると見られるリンクが、複数のネット掲示板に投稿されました。今回利用されたリンクは、ユーザを実際のニュースサイトに誘導しますが、不正コードの読み込みと実行を行うために非表示のiframeも使用します。不正コードには、iOS 12.1および12.2で確認された脆弱性を狙う脆弱性攻撃コードが含まれています。ユーザが潜在的な脅威を持つ状態にあるデバイスで対象のリンクをクリックしてしまうと、iOSを狙うマルウェアの新亜種「lightSpy(「IOS_LightSpy.A」として検出)」のダウンロードが実行されます。

lightSpyは、影響を受けるデバイス上で、遠隔からシェルコマンドを実行してファイルの操作を可能にするモジュラー型のバックドアです。このため、攻撃者はユーザのデバイス上でスパイ行為を行うだけでなく、対象のデバイスを完全に制御することができます。また、lightSpyには、感染したデバイスから以下の情報を窃取するために利用されるモジュールが含まれています。

  • 接続されたWi-Fi履歴
  • 連絡先
  • 位置情報
  • ハードウェア情報
  • iOS キーチェーン
  • 通話履歴
  • SafariおよびChromeブラウザの履歴
  • SMS メッセージ

ユーザのネットワーク環境に関する情報も、対象のデバイスから窃取されます。

  • 利用可能なWi-Fiネットワーク
  • ローカルネットワークのIPアドレス

具体的に、メッセンジャーアプリも情報窃取の標的とされています。特に対象となったアプリは、以下の通りです。

  • Telegram
  • QQ
  • WeChat

トレンドマイクロはまた、Android端末を狙うlightSpyに類似した活動も2019年に確認していました。この活動では、香港と関連のある複数のTelegramの公開チャンネルで、不正な.APKファイルへのリンクが見つかりました。該当するチャンネルで送信されたメッセージには、さまざまな正規アプリへの公式リンクであると記載されていましたが、実際は、デバイス情報、連絡先、SMSメッセージを窃取する可能性のある不正アプリにつながっていました。トレンドマイクロでは、Android端末を対象とするこのマルウェアファミリを、「dmsSpy(このマルウェアの亜種は「AndroidOS_dmsSpy.A」として検出)」と呼んでいます。

作戦から垣間見えるその設計と機能から、このキャンペーンでは特定のユーザを意図して狙ったわけではないと見られます。しかし、デバイスに対するバックドア攻撃と監視のために、可能な限り多くの端末を侵害しようとしていることが伺えます。トレンドマイクロでは、その拡散手法に基づいて、このキャンペーンに「Operation Poisoned News」と名付けました。

本記事では、lightSpyおよびdmsSpyの両方が持つ機能の概要と、それらの拡散手法について解説します。侵入の痕跡(Indicators of Compromise 、IoC)を含む技術的詳細は、こちらから確認できます。

■拡散:「Poisoned News」と水飲み場型攻撃

2020年2月19日、トレンドマイクロは、iOSユーザを狙った水飲み場攻撃を確認しました。この攻撃で使用されたURLは、攻撃者が作成した不正Webサイトにつながるだけでなく、異なるサイトを示す3つのiframeを含んでいました。唯一可視化されているiframeは、正規のニュースサイトにつながり、人々がその正規サイトにアクセスしていると信じ込むように仕向けます。非表示となっている2つのうち一つは、Webサイトの解析に使用されていました。もう一つは、iOS対象の脆弱性攻撃コードが持つメインスクリプトをホストするサイトにつながりました。以下の図1は、これら3つのiframeのコードを示しています。

図1: 3つのiframeを含む不正WebサイトのHTMLコード

これらの不正サイトにつながるリンクは、4つの異なるネット掲示板に投稿されました。 これらのネット掲示板は、香港の在住者に人気があることで知られています。4つの掲示板では公式アプリも提供しているため、ユーザは自身のモバイル機器から簡単にアクセスできます。Poisoned News(偽のニュースページ)へのリンクは、上述のネット掲示板に設置されているカテゴリ「雑談」内に投稿されました。この投稿には、特定のニュース記事の見出し、記事に付随する画像、およびニュースサイトへの偽リンクが含まれます。

問題の記事は、新規登録されたアカウントによって掲示板内に投稿されました。したがって、これらの投稿は、とあるユーザが正規のリンクだと勘違いして再共有しようと作成したものではないことがわかります。 囮として利用されたトピックは、成人向け、釣り見出し、または新型コロナウイルスに関連するニュースのいずれかでした。トレンドマイクロでは、これらの話題が特定のユーザではなく、サイト全体のユーザを狙っていると考えています。

図2:キャンペーンの一環で投稿されたニューストピック一覧
図3:不正サイトへのリンクが記載されているネット掲示板の投稿

また、トレンドマイクロでは、上述の手法以外にも、2つ目の水飲み場型攻撃を利用したWebサイトも確認しました。この事例では、正規サイトが模倣され、不正なiframeが挿入されました。弊社が設置したハニーポットから、香港で起きたこの事例での水飲み場型攻撃によるリンクの拡散は、2020年1月2日に開始したことがわかります。しかし、これらのリンクが拡散された先は不明なままです。

図4:不正な脆弱性攻撃コードを含む、iframeが挿入された偽ニュースページ

これらの攻撃は2020年3月20日まで続いたため、ネット掲示板の投稿は香港で行われた抗議行動の予定に関連していると考えられています。ここで使用された不正リンクは以前の事例と同様に、マルウェアの感染につながります。

図5:抗議活動の予定についての投稿に記載されている不正サイトへのリンク
■感染の流れ

この攻撃で使用される脆弱性攻撃コードは、iOSバージョン 12.1および12.2に影響を与えます。以下の図6から分かるように、iPhone 6SからiPhone Xまで、複数のiPhoneモデルを対象としています。

図6:対象機器のコード確認

完全な脆弱性攻撃の流れには、非公式パッチが適用されたSafariの脆弱性(最近の複数のiOSバージョンで動作)やカスタマイズされたカーネルの脆弱性が含まれます。Safariブラウザが脆弱性攻撃コードをレンダリングすると、そのコードは脆弱性(Appleが新しいバージョンのiOSで非公式パッチを適用済み)を狙い、既知のカーネルの脆弱性を悪用してルート権限を取得します。カーネルの脆弱性は「CVE-2019-8605」に関連しています。非公式パッチが適用されたSafariの脆弱性に関連するCVE(共通脆弱性識別子)番号はありませんが、他のリサーチャーは、この特定の問題に関連して、過去に確認されたパッチ適用の失敗について言及しました。

対象のデバイスが侵害されると、攻撃者は文書化されていない高度なスパイウェアをインストールして、デバイスの制御を維持し、情報を窃取します。 スパイウェアは、以下を含む複数の機能を備えたモジュラー設計を使用しました。

  • モジュールの更新
  • モジュール毎に遠隔からコマンドをディスパッチする
  • シェルコマンドのモジュールを完了する

このスパイウェアが持つモジュールの多くが、情報窃取のために設計されたのは明白です。たとえば、TelegramやWechatから情報を窃取するモジュールもこれに当てはまります。以下の図では、感染の流れとそこで使用される複数のモジュールを示しています。

図7: lightSpyの感染の流れ

トレンドマイクロは、モジュールマネージャ「light」に因んで、この新たな脅威にlightSpyという名前を付けました。また、モジュール「launchctl」が使用するデコードされた構成ファイルには、/ androidmm / lightの場所を示すURLが含まれていることにも注視しましょう。このことは、Androidを対象とするバージョンも存在することを示唆しています。

もう一点注視すべき部分として、ファイル「payload.dylib」には、正規のApple開発者が発行する署名証明書が使用されていますが、これは2019年11月29日に署名されたものでした。このことから、このキャンペーンの活動の開始時を示す明確なタイムスタンプが付けられます。

lightSpyが行う不正な動作の

ここでは、lightSpyとその動作に関連するペイロードの概要を一部解説します。 詳しい技術的概要は、こちらから確認できます。

カーネルの脆弱性がトリガーされると、図8のコードから分かるように、payload.dylibは複数のモジュールをダウンロードします。

図8:ダウンロードされたモジュール

ここでダウンロードされたモジュールの一部は、起動と読み込みの動作に関連付けられています。たとえば、launchctlはデーモン/エージェントを読み込みまたは破棄するために使用されるツールであり、ircbin.plistを引数として使用して、対象の動作を実行します。このデーモンは次に、irc_loaderを実行しますが、名前から分かるように、これは主要なマルウェアのモジュール「light」を単に読み込むものです。この際、ハードコーディングされたC&Cサーバの位置情報も含まれます。

モジュール「light」はマルウェアのメインコントロールとして機能し、他のモジュールの読み込みおよび更新を可能にします。残りのモジュールは、以下に列挙されているように、さまざまなタイプのデータを抽出および取得するように設計されています。

  • dylib – iPhoneのハードウェア情報、連絡先、テキストメッセージ、通話履歴などの基本情報を取得してアップロードする
  • ShellCommandaaa – 影響を受けるデバイス上でシェルコマンドを実行する。結果はシリアル化され、指定されたサーバにアップロードされる
  • KeyChain – Appleキーチェーンに含まれる情報を窃取し、アップロードする
  • Screenaaa – 影響を受けるデバイスと同一のネットワークのサブネット上のデバイスをスキャンしてpingする。 pingの結果が攻撃者にアップロードされる
  • SoftInfoaaa – デバイス上のアプリとプロセス一覧を取得する
  • FileManage – デバイス上でファイルシステム操作を実行する
  • WifiList – 保存されたネットワークや履歴など、保存されたWi-Fi情報を取得する
  • browser – ChromeとSafariの両方からブラウザ履歴を取得する
  • Locationaaa – ユーザの位置情報を取得する
  • ios_wechat – アカウント情報、連絡先、グループ、メッセージ、ファイルなど、WeChat関連の情報を取得する
  • ios_qq – モジュール「ios_wechat」に類似しているが、QQを対象とする.
  • ios_telegram – 上述のモジュール2つに類似しているが、Telegramを対象とする

まとめると、攻撃者はこの脅威を利用することで、影響を受けるデバイスを徹底的に侵害し、ユーザが機密情報と見なす多くの情報を窃取することが可能になります。本記事で紹介した事例では、香港市場で人気のある複数のチャットアプリが特に狙われており、情報窃取が攻撃者の目的であったことを示唆しています。

dmsSpyの

前述の通り、lightSpyのAndroid版と言える「dmsSpy」も存在します。2019年、さまざまなアプリに偽装したdmsSpyは、Telegramの公開チャンネル上で拡散されました。調査中、リンクはすでに無効となっていましたが、トレンドマイクロは亜種の一つを検体として入手することに成功しました。

トレンドマイクロで確認した検体は、香港での抗議活動の予定を含むカレンダーアプリとして宣伝されていました。このアプリには、機密性の高い権限の要求や、機密情報のC&Cサーバへの送信など、不正アプリによく見られる多くの機能が含まれています。ここで収集される情報には、使用されているデバイスモデルなど一見安全な情報が含まれますが、連絡先、テキストメッセージ、ユーザの位置情報、保存されているファイルの名前などのより機密性の高い情報も含まれます。dmsSpyは、新規受信したSMSメッセージを読み取るためのレシーバを登録し、USSDコードをダイヤルします。

また、トレンドマイクロでは、dmsSpyに関する詳細情報の取得に成功しました。この活動の背後にいる攻撃者が誤って、Webフレームワークのデバッグモードをアクティブにしたためです。こうして、サーバが使用するAPIを確認可能となりました。このことから、スクリーンショットや、APKファイルをデバイスにインストールする機能など、弊社が入手した検体では確認できなかったさらなる機能が存在することが明らかになりました。

図9:Webフレームワークから流出したAPI一覧

トレンドマイクロの見解では、これらの攻撃は関連していると考えています。dmsSpyのダウンロードサーバとC&Cサーバは、Poisoned NewsのiOSのコンポーネントで利用された水飲み場型攻撃による事例のうち、一つが同様のドメイン名「hkrevolution[.]club」を使用していました。ただし、サブドメインは異なるものを使用していました。結果として、この特定的にAndroid端末を狙う攻撃は同一集団の攻撃者によって実行されており、Poisoned Newsとのつながりがあると見ています。

■ベンダの声明

トレンドマイクロは、本記事で言及した複数のベンダに対し、この事例についての調査報告を行いました。 これに対して、Tencentは以下の声明を発表しています。

「トレンドマイクロが行なった調査を受け、コンピュタとモバイル機器のオペレティングシステムを最新の態に保つ重要性を強く実感しました。調査内で記載されている脆弱性は、iOS のバージョン12.1および12.2Safariに影響を及ぼしますが、その後iOSのアップデートが行われ、修正済みとなっています

ごくわずかな割合のWeChatおよびQQザが、脆弱性を含む古いバジョンのiOSを未だ利用していました。対象のザには、自身のデバイスをできるだけ早く最新バジョンのiOSにアップデートするように、にリマインダ行しています。

Tencentはデタセキュリティの重要性について非常に真摯に受け止めており、ユ情報を安全に保つために設計された強固で安全なプラットフォム上に、社の製品とサビスが構築されるように努めます。」

また、Apple社に対しても、トレンドマイクロのセキュリティチーム「Zero Day Initiative(ZDI)」を通じて、この調査について報告しました。 Telegramにも調査結果について知らせましたが、本記事執筆時点で回答はありません。

■被害に遭わないためには

この脅威を防ぐために、ユーザは複数の対策を講じることが可能です。 iOSユーザにとって最も重要なのは、iOSバージョンを最新の状態に保つことです。この問題を解決するアップデートは、1年以上前から利用可能となっていました。つまり、自身のデバイスに最新のアップデートを適用していたユーザは、本記事で紹介した脅威が悪用しようとする脆弱性から安全な状態が保たれていました。

Android端末を利用する場合、トレンドマイクロが取得した検体は、Google Playストア外のTelegramチャンネルのリンクを介して配布されていました。 この手法で拡散されるアプリには不正コードが頻繁に含まれるため、ユーザは信頼できるアプリストア以外からアプリをインストールしないようにすることを強く推奨します。

■トレンドマイクロの対策

トレンドマイクロクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」の機能である「Mobile App Reputation Service(MAR)」では、主要なサンドボックスおよび機械学習技術を使用してAndroidおよびiOSの脅威に対応し、マルウェア、ゼロデイおよび既知の脆弱性攻撃、プライバシーの流出、およびアプリケーションに潜む脆弱性からユーザを保護します。個人向けiOSおよびAndroid端末向け製品「ウイルスバスターモバイル」および法人向け「Trend Micro™Mobile Security」ではMARSを利用した対策機能を実装しています。同時にデバイス所有者のデータおよびプライバシーを保護する多層セキュリティ機能と、ランサムウェア、不正なWebサイト、IDの窃取からデバイスを保護する機能も利用可能です。

■侵入の痕跡(Indicators of Compromise、IoC)

今回の記事に関する侵入の痕跡および技術的詳細は、こちら(英語)を参照してください。

参考記事:

翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)