概要
新たなモバイルスパイ活動「RedAlert」が、イスラエルとイランの継続的な紛争のなかで発見されました。このキャンペーンは、緊急時警報システムへの信頼を悪用し、市民を標的としています。イスラエルのホームフロント司令部が提供する公式ロケット警報アプリのトロイの木馬化版を配布し、個人情報や位置情報データを収集する目的で偽の「緊急アップデート」としてユーザーにインストールさせます。
攻撃手法
脅威アクターは、SMSベースのフィッシング(スミッシング)を用いて、偽のAndroid APKを配布しています。これらの偽のメッセージは、ユーザーが公式のGoogle Playストアを通さずに偽のアプリをインストールするように誘導します。インストール後、悪意のあるクローンアプリは、本物のアプリの視覚的なインターフェースを模倣しながら、バックグラウンドで秘密の監視モジュールを実行します。
感染チェーン
RedAlert.apkの静的および逆アセンブル分析により、3段階の感染チェーンが明らかになりました。
- ステージ1 – ローダー: Android IPackageManagerサービスにハックし、アプリのデジタル署名を偽造します。
- ステージ2 – 隠されたアセット: アプリのリソースから抽出された隠されたアセットを動的にメモリにロードします。
- ステージ3 – 核心スパイウェアペイロード: 完全なデータエクスフィルレーション機能を提供するDebugProbesKt.dexをデリバリーします。
セキュリティ上の影響
このトロイの木馬は、SMS、連絡先、正確なGPS位置情報へのアクセスを要求します。これらの権限が許可されると、バックグラウンドで実時間のデータエクスフィルレーションが開始されます。
- 完全なSMSインボックス(2FAコードの検出)
- 連絡先リスト(ソーシャルグラフマッピング)
- 被害者のリアルタイムGPS座標
対策
セキュリティアナリストは、ユーザーがアプリを公式アプリストアを通じてのみインストールすること、緊急アップデートのリンクを経由してサイドロードしないこと、反射型およびプロキシベースのコードインジェクションを検出するモバイル脅威防御システムを導入することを推奨しています。