Zimperiumは7月31日(米国時間)、「Unmasking the SMS Stealer: Targeting Several Countries with Deceptive Apps - Zimperium」において、2022年2月に発見し、以来追跡してきたSMS(Short Message Service:ショートメッセージサービス)のメッセージを窃取するサイバー攻撃に関する調査結果を伝えた。研究者は調査の過程で10万7,000以上のマルウェアを特定し、その進化を観察したと報告している。

  • Unmasking the SMS Stealer: Targeting Several Countries with Deceptive Apps - Zimperium

    Unmasking the SMS Stealer: Targeting Several Countries with Deceptive Apps - Zimperium

侵害経路

このキャンペーンでは、Android向け情報窃取マルウェアが用いられれている。報告によると、マルウェアは偽広告や標的と直接通信するTelegramボットを介して配信されたという。

  • SMS窃取キャンペーンの侵害経路 - 引用:Zimperium

    SMS窃取キャンペーンの侵害経路 引用:Zimperium

被害者がアプリに偽装したマルウェアのインストールを開始すると、マルウェアはSMSへのアクセス権を要求する。ユーザーがアクセスを許可すると、コマンド&コントロール(C2: Command and Control)サーバとの接続を確立し、デバイス情報とメッセージの窃取を開始する。

影響

Zimperiumの研究者は確認されたマルウェアの数の多さから、標的は世界中のユーザーと推測している。しかしながら、これらマルウェアのうち、99,000(95%)以上は未知または使用不可だったとも報告している。

マルウェアの目的はメッセージに含まれるワンタイムパスワード(OTP: One Time Password)の取得とみられ、600を超える主要なオンラインサービスのワンタイムパスワードを監視したとみられている。被害者は113カ国にわたり、ロシアおよびインドのユーザーが最も多く、この2カ国だけで全体の40%を超えるという。

  • 被害者の分布図- 引用:Zimperium

    被害者の分布図 引用:Zimperium

対策

Zimperiumはこの攻撃により窃取した情報は、それだけでは利益にならない可能性があると指摘している。しかしながら、フィッシング攻撃やソーシャルエンジニアリング攻撃など次のサイバー攻撃の足がかりになるとして警戒の必要性を訴えている。

調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOC/2024-07-OTP-Stealer at master · Zimperium/IOC · GitHub」にて公開しており、必要に応じて活用することが望まれている。