サイバーニュース.jp

世界のサイバーなニュースを配信

AndroidスパイウェアがSignalとToTokを装い個人情報を窃取

カテゴリ:

, , , , , , , , ,

はじめに

研究者によって「ProSpy」と「ToSpy」と名付けられた2つの新しいAndroidスパイウェアキャンペーンが、人気メッセージングアプリのSignalとToTokを装い、ユーザーから機密データを窃取していることが明らかになりました。これらの悪意あるファイルは、正規の通信プラットフォームを模倣した偽のウェブサイトを通じて配布されています。

偽装されたメッセンジャーアプリの背景

Signalは、Google Playで1億回以上ダウンロードされている人気のエンドツーエンド暗号化メッセンジャーです。一方、ToTokはUAEを拠点とするG42社が開発したアプリで、2019年にはUAE政府のスパイツールであるとの疑惑からAppleおよびGoogleのアプリストアから削除されました。現在、ToTokは公式サイトやサードパーティのアプリストアからダウンロード可能です。

ProSpyキャンペーンの詳細

サイバーセキュリティ企業ESETの研究者は、2025年6月にProSpyキャンペーンを発見しましたが、その活動は少なくとも2024年から始まっていた可能性があると見ています。分析によると、この悪意あるキャンペーンはアラブ首長国連邦のユーザーを標的としています。調査の結果、存在しない「Signal Encryption Plugin」と「ToTokアプリのPro版」を装う、これまで文書化されていなかった2つのスパイウェアファミリーが発見されました。

攻撃者は、偽のSignalウェブサイト(signal.ct[.]ws、encryption-plug-in-signal.com-ae[.]net/)や、Samsung Galaxy Storeを装ったサイト(store.latestversion[.]ai、store.appupdate[.]ai)を通じて、悪意あるAPKファイルを配布していました。ProSpyマルウェアのサンプルは、メッセンジャーアプリに典型的な連絡先リスト、SMS、ファイルへのアクセス許可を要求します。一度デバイス上でアクティブになると、以下のデータを外部に送信します。

  • デバイス情報(ハードウェア、オペレーティングシステム、IPアドレス)
  • 保存されたSMSテキスト
  • 連絡先リスト
  • ファイル(音声、文書、画像、動画)
  • ToTokバックアップファイル
  • インストールされているアプリケーションのリスト

隠蔽工作として、Signal Encryption Pluginはホーム画面で「Play Services」アイコンとラベルを使用し、アイコンをタップすると正規のGoogle Play Serviceアプリの情報画面が開くようになっています。また、正規のアプリがデバイスにインストールされていない場合、ユーザーを公式のダウンロードサイトにリダイレクトすることで、疑念を抱かせないよう工夫されています。

ToSpyキャンペーンの詳細

研究者によると、ToSpyキャンペーンは現在も継続しており、その活動は2022年まで遡る可能性があるとESETは指摘しています。これは、2022年5月24日に作成された開発者証明書、同年5月18日に登録された配布およびC2(コマンド&コントロール)用ドメイン、そして同年6月30日にVirusTotalにアップロードされたサンプルといった複数の指標に基づいています。

このキャンペーンで配布された偽のToTokアプリは、被害者に連絡先とストレージへのアクセス許可を付与するよう促し、文書、画像、動画、およびToTokチャットバックアップファイル(.ttkmbackupファイル)に焦点を当てて関連データを収集します。ESETの報告書によると、すべての外部送信データはAES対称暗号化アルゴリズムのCBCモードを使用して暗号化されます。

ToSpyも隠蔽工作として、アプリが開かれた際に、デバイスに正規のToTokアプリがあればそれを起動します。アプリが存在しない場合は、Huawei AppGallery(正規アプリまたはデフォルトのウェブブラウザ)を開き、ユーザーが公式のToTokアプリを入手できるように仕向けます。

スパイウェアの永続化メカニズム

両方のスパイウェアファミリーは、感染したデバイス上で3つの永続化メカニズムを使用しています。

  • AndroidシステムAPIの「AlarmManager」を悪用し、強制終了されても自動的に再起動する。
  • 永続的な通知を伴うフォアグラウンドサービスを使用し、システムが高優先度プロセスとして扱うようにする。
  • 「BOOT_COMPLETED」ブロードキャストイベントに登録し、ユーザーの操作なしにデバイス再起動時にスパイウェアが再起動するようにする。

セキュリティ対策と推奨事項

ESETはProSpyおよびToSpyキャンペーンに関連する包括的なIoC(侵害指標)リストを公開していますが、攻撃者の特定には至っていません。Androidユーザーは、アプリを**公式または信頼できるリポジトリ**、または**発行元のウェブサイト**からのみダウンロードすることが推奨されます。また、デバイスの**Play Protectサービスを有効**に保ち、既知の脅威を無効にすることが重要です。

元記事: https://www.bleepingcomputer.com/news/security/android-spyware-campaigns-impersonate-signal-and-totok-messengers/

投稿をさらに読み込む