アンドロイド
画像: 旅の途中

BadBazaar スパイウェアを含むトロイの木馬化された Signal アプリと Telegram アプリが、GREF として知られる中国の APT ハッキング グループによって Google Play と Samsung Galaxy Store にアップロードされました。

このマルウェアは以前、中国の少数民族を標的とするために使用されていましたが、ESET のテレメトリによると、今回は攻撃者がウクライナ、ポーランド、オランダ、スペイン、ポルトガル、ドイツ、香港、米国のユーザーを標的にしていることがわかりました。

BadBazaar の機能には、デバイスの正確な位置の追跡、通話記録や SMS の盗用、通話の録音、カメラを使用した写真の撮影、連絡先リストの流出、ファイルやデータベースの盗用などが含まれます。

BadBazaar コードを含むトロイの木馬化アプリは、ESET の研究者である Lukas Stefanko によって発見されました。

被害者のヒートマップ
被害者のヒートマップ(ESET)

トロイの木馬化された IM アプリ

GREFがキャンペーンで使用した2つのアプリは「Signal Plus Messenger」と「FlyGram」という名前で、どちらも人気のオープンソースIMアプリSignalとTelegramのパッチ適用版である。

また、攻撃者はマルウェア キャンペーンに正当性を与えるために、「signalplus[.]org」と「flygram[.]org」に専用 Web サイトを開設し、Google Play から、またはサイトから直接アプリをインストールするためのリンクを提供しています。

ESETの報告によると、FlyGramは連絡先リスト、通話記録、Googleアカウント、WiFiデータなどの機密データを標的にしており、Telegram通信データを攻撃者が管理するサーバーに送信する危険なバックアップ機能も提供しているという。

入手可能なデータを分析したところ、少なくとも 13,953 人の FlyGram ユーザーがこのバックアップ機能を有効にしていましたが、スパイウェア アプリのユーザーの総数は不明です。

Signal クローンは同様の情報を収集しますが、被害者の通信やアカウントを不正アクセスから保護する PIN など、Signal 固有の情報を抽出することに重点を置いています。

ただし、偽の Signal アプリには、攻撃者が被害者の Signal アカウントを攻撃者が管理するデバイスにリンクして、今後のチャット メッセージを攻撃者が見ることができるため、攻撃をより興味深いものにする機能が含まれています。

Signal には、複数のデバイスを 1 つのアカウントにリンクして、すべてのデバイスからチャット メッセージを表示できるようにする QR コード ベースの機能が含まれています。

悪意のある Signal Plus Messenger は、QR コード リンク プロセスをバイパスし、被害者が知らないうちに自分のデバイスを被害者の Signal アカウントに自動的にリンクすることでこの機能を悪用します。これにより、攻撃者は Signal アカウントから送信される今後のすべてのメッセージを監視できるようになります。

「スパイ行為を行うマルウェアであるBadBazaarは、C&Cサーバーから必要なURIを受信し、デバイスのリンクボタンがクリックされたときに必要なアクションを直接トリガーすることで、通常のQRコードスキャンとユーザーのクリックプロセスをバイパスします」とESETは説明しています

「これにより、図 12 に示すように、マルウェアが被害者のスマートフォンを攻撃者のデバイスに密かにリンクできるようになり、被害者の知らないうちに Signal 通信をスパイできるようになります。」

Signal Link の悪用図
Signal Link の悪用図(ESET)

ESETによると、Signalをスパイするこの方法はSignalメッセージの内容を取得する唯一の方法であるため、以前にも使用されていたという。

不正なデバイスが Signal アカウントにリンクされているかどうかを確認するには、実際の Signal アプリを起動し、[設定] に移動し、[リンクされたデバイス] オプションをタップして、接続されているすべてのデバイスを表示および管理します。

FlyGram は 2020 年 7 月に Google Play にアップロードされ、そのチャネルを通じて合計 5,000 回のインストールを蓄積し、2021 年 1 月 6 日に削除されました。

2 つのストアの FlyGram アプリ
2 つのストアの FlyGram アプリ(ESET)

Signal Plus Messenger は、2022 年 7 月に Google Play と Samsung Galaxy ストアにアップロードされ、Google は 2023 年 5 月 23 日に削除しました。

Signal Plus Messager を 2 つのストアに導入
2 つのストアの Signal Plus Messenger (ESET)

これを書いている時点では、 両方のアプリがまだ Samsung Galaxy Store で入手可能であることを確認しました。

Android ユーザーは、Signal と Telegram のオリジナル バージョンを使用し、プライバシーの強化や追加機能を約束するフォーク アプリは、公式アプリ ストアで入手可能な場合でもダウンロードしないことをお勧めします。