ESETは2月1日(現地時間)、「VajraSpy: A Patchwork of espionage apps」において、Androidを標的とするスパイウェアを含む12のアプリを発見したとして、注意を呼び掛けた。注意を呼び掛けた。発見されたアプリのうち6つはGoogle Playから配布されていることが確認されており、残りは、ファイルやウェブサイトのマルウェア検査を行うWebサイト「VirusTotal」から発見されたという。
スパイウェアの詳細
ESETによると発見されたスパイウェアは、持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Patchwork」が使用する遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「VajraSpy」とされる。VajraSpyにはアプリに付与された権限に基づいて拡張できるさまざまなスパイ機能があるとされ、連絡先、ファイル、通話記録、ショートメッセージサービス(SMS: Short Message Service)の内容などを窃取する機能を持つ。また、WhatsAppやSignalといったアプリのメッセージの窃取や、通話の録音、カメラ画像の窃取も可能とされる。
発見されたアプリの主な標的はパキスタンのAndroidユーザーとみられている。これまでにGoogle Playからインストールされた総数は1,400を超えるとされ、現在も別のアプリストアから入手可能だという。
スパイウェアによる侵害の内容
ESETの調査によると、脅威グループはロマンス詐欺を使用して被害者を誘導し、悪意のあるアプリをインストールさせたという。これらアプリはメッセージングアプリという共通点があり、すべてVajraSpyを含む。また、一部のアプリは同一のログインインタフェースを使用しており、他の一部のアプリは同一の開発者証明書によって署名されていることが確認されている。これらのことから、攻撃は同一の脅威グループによるものとみられている。
ESETは、調査の過程でこれら不正なアプリの脆弱性により被害者のデータの一部が流出していることを確認し、それらデータから148台の侵害されたAndroidデバイスがインドおよびパキスタンにあることを特定している。
対策
脅威グループはFacebook MessengerやWhatsAppを悪用して被害者と最初のコミュニケーションをとり、ロマンス詐欺により悪意のあるメッセージングアプリに切り替えるように誘導したとみられている。このようなソーシャルエンジニアリング攻撃を回避するため、ユーザーにはメッセージの会話に用心深く対応し、勧められたアプリをダウンロードしないことが推奨されている。ESETは今回の調査で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。