Cloudflareはこのほど、「Malicious “RedAlert - Rocket Alerts” Application Targets Israeli Phone Calls, SMS, and User Information」において、イスラエル市民向けのロケット警報アプリ「RedAlert」に偽装したAndroid用のスパイウェアの配布を確認したと報じた。

  • Malicious “RedAlert - Rocket Alerts” Application Targets Israeli Phone Calls、SMS、and User Information

    Malicious “RedAlert - Rocket Alerts” Application Targets Israeli Phone Calls, SMS, and User Information

Cloudflareによると、サイバー攻撃者が過去2日間に悪意のあるWebサイト「hxxps://redalerts[.]me」から、Elad Nava氏の有名なオープンソースソフト(OSS)「GitHub - eladnava/redalert-android: An Android app that provides real-time rocket alerts for Israeli citizens.」によく似たマルウェアを配布したという。

Elad Nava氏の正規のRedAlertはWebサイト「hxxps://redalert[.]me」から配布されており、悪意のあるWebサイトとは1文字だけ異なっている。また、攻撃者は正規のアプリケーションがオープンソースであることを悪用し、コードの一部を悪意のあるコードに差し替えて正規のアプリとほぼ同一のマルウェアを配布したとされる。

この悪意のあるWebサイト「hxxps://redalerts[.]me」からはiOS版とAndroid版の両方のアプリへのリンクが貼られている。iOS版はApple公式ストアの正規アプリの配布サイトにリンクされているが、Android版はマルウェアのAPKファイルにリンクされており、リンク先にアクセスすると直接マルウェアをダウンロードすることになるという。

これより、Cloudflareは公式ストア以外からアプリをダウンロードすることがいかに危険かわかるとして、この件にかかわらず公式ストア以外からのダウンロードには注意するよう呼びかけている。

このRedAlertに偽装したマルウェアには次の情報を窃取する機能があるとされる。

  • SIM情報(IMEIとIMSI番号、ネットワークタイプ、国、ボイスメール番号、PINステータス)
  • すべての連絡先
  • すべてのSMSメッセージ
  • デバイスに関連付けられたアカウントのリスト
  • 通話と会話の詳細
  • ログイン済みのメールとアプリのアカウント
  • インストール済みアプリの一覧の窃取

Cloudflareはこの悪意のあるサイトからAndroid版のRedAlertをインストールしたユーザーに対し、アプリを緊急に削除することを推奨している。インストールしたRedAlertが正規版かマルウェアかの判断は、アプリに付与された権限に次の権限が含まれているかで判別できる。これら権限が含まれている場合は権限が有効化どうかにかかわらず、マルウェアの可能性が高いという。もしもインストールしたRedAlertが正規版かマルウェアか判断がつかない場合は、一度アプリ削除して、公式ストアから入れ直すことを推奨している。

  • Call Logs
  • Contacts
  • Phone
  • SMS

Cloudflareはこのような脅威からモバイル機器を保護するため、次のような対策を提示している。

  • デバイスを常に最新の状態に維持する
  • Cloudflare Teamsの導入を検討する
  • 非公式のアプリ配布サイトの利用を避ける
  • 直接配布されるアプリケーションなどをインストールしない
  • 家族向けのDNSリゾルバ「1.1.1.1 The free app that makes your Internet faster.」の使用を検討する

Cloudflareによると悪意のあるサイトはすでにオフラインになっているとされる。ただし、同様の攻撃は今後も継続する可能性があるため注意が必要。Cloudflareは今回の攻撃に関するセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。