概要
ESETの研究者たちは、セキュアな通信プラットフォームを求めるユーザーを標的とした、2つの高度なAndroidスパイウェアキャンペーンを発見しました。これらのキャンペーンは、人気のメッセージングアプリであるSignalとToTokを模倣しています。悪意のある活動は主にアラブ首長国連邦(UAE)の居住者に焦点を当てており、欺瞞的なウェブサイトやソーシャルエンジニアリングの手口を用いて、これまで文書化されていなかったマルウェアファミリーを配布しています。
調査により、綿密に計画された欺瞞キャンペーンを通じて動作する2つの異なるAndroidスパイウェアファミリーが明らかになりました。Android/Spy.ProSpyは、SignalとToTokの両メッセージングアプリケーションのアップグレードまたはプラグインとして偽装し、一方、Android/Spy.ToSpyは、ToTokアプリ自体を模倣することでToTokユーザーのみを標的にしています。これらの悪意のあるアプリケーションは、公式アプリストアでは入手できず、被害者は正規に見せかけたサードパーティのウェブサイトから手動でソフトウェアをインストールする必要がありました。
特に巧妙な配布方法の1つとして、Samsung Galaxy Storeを模倣した偽のウェブサイトがあり、ユーザーを騙して悪意のあるToTokアプリのバージョンをダウンロード・インストールさせていました。
ProSpyキャンペーンの詳細
2025年6月に発見されましたが、2024年から活動していたとみられるProSpyキャンペーンは、SignalとToTokプラットフォームを装った3つの欺瞞的なウェブサイトを通じてマルウェアを配布しています。このキャンペーンは、「Signal Encryption Plugin」および「ToTok Pro」として販売される改善版を装った悪意のあるAPKファイルを提供しています。
Signal Encryption Pluginの亜種は、「.ae.net」を含むドメイン構造を持つ専用のフィッシングウェブサイト(例: https://signal.ct[.]ws、https://encryption-plug-in-signal.com-ae[.]net/)を通じて配布されており、UAE居住者を意図的に標的にしていることが示唆されています。
インストールされると、この悪意のあるアプリは連絡先、SMSメッセージ、デバイスファイルへの広範なアクセス許可を要求し、バックグラウンドでのデータ流出を開始します。初期設定後、Signal Encryption Pluginは巧妙な偽装技術を採用し、デバイス上での表示を「Play Services」に変更し、クリックされるとユーザーを正規のGoogle Play Servicesにリダイレクトします。この活動エイリアスの操作により、スパイウェアの存在を効果的に隠蔽しつつ、機密データへの永続的なアクセスを維持します。
ToSpyキャンペーンの詳細
ToSpyキャンペーンは、さらに標的を絞った地域的な活動を示しており、UAEに所在するデバイスからの検出が確認されています。研究者たちは、同一の悪意のあるコードと開発者証明書を共有する6つのサンプルを特定し、単一の脅威アクターによる連携を示しています。証拠によると、ToSpyキャンペーンは2022年半ばに開始され、開発者証明書は2022年5月24日に作成され、関連ドメインも同時期に登録されています。複数のコマンド&コントロールサーバーは、公開時点でも活動を続けており、継続的な運用が示唆されています。
このマルウェアは、特に.ttkmbackup拡張子を持つToTokのバックアップファイルを標的にしており、チャット履歴やアプリデータの抽出に特に関心を示しています。この焦点は、UAEおよび周辺地域におけるToTokの地域的な人気と一致しています。
データ収集と永続性
両方のスパイウェアファミリーは、広範なデータ収集能力を示しており、デバイス情報、保存されたSMSメッセージ、連絡先リスト、およびドキュメント、画像、ビデオ、アーカイブを含む複数のカテゴリのファイルを体系的に流出させます。マルウェアは、フォアグラウンドサービス、アラームマネージャー、およびブート永続性メカニズムを通じて、バックグラウンドで永続的に動作します。
ToSpyは、ハードコードされたキーを持つAES暗号化(CBCモード)を使用して、コマンド&コントロールサーバーへのHTTPS POSTリクエストを介した送信前に流出データを保護します。特定された6つのサンプルすべてで同じ暗号化キーが使用されており、集中開発と展開が示唆されています。
保護と予防策
Google Play Protectは、このスパイウェアの既知のバージョンからAndroidユーザーを自動的に保護し、Google Play Servicesを搭載したデバイスにデフォルトの保護を提供します。ESETは、App Defense Allianceパートナーシップの一環として、これらの調査結果をGoogleと共有し、これらの新たな脅威への迅速な対応を確実にしました。
セキュリティ専門家は、非公式なソースからのアプリのインストールを避け、「不明なソースからのインストール」オプションを無効にすることの重要性を強調しています。特に、公式アプリストア以外からソフトウェアのインストールを促された場合、信頼できる通信サービスを強化すると主張するアプリやアドオンをダウンロードする際には、細心の注意を払う必要があります。
これらのキャンペーンの発見は、モバイルスパイウェア運用の進化する高度さと、特に特定のアプリが公式チャネルを通じて制限されているか利用できない地域において、通信アプリケーションをダウンロードする際の警戒を維持することの重要性を浮き彫りにしています。
IoC(侵害の痕跡)
- SHA-1: 03FE2FCF66F86A75242F6112155134E66BC586CB
ファイル名: e18683bc061e888f158c9a3a7478615df2d7daae1952a072d7f549cd1c1e326a.apk
検出: Android/Spy.ToSpy.A
説明: ToTokアプリを模倣したAndroid ToSpyスパイウェア。 - SHA-1: B22D58561BB64748F0D2E57B06282D6DAF33CC68
ファイル名: totok_v1.8.8.411.apk
検出: Android/Spy.ToSpy.A
説明: ToTokアプリを模倣したAndroid ToSpyスパイウェア。 - SHA-1: BDC16A05BF6B771E6EDB79634483C59FE041D59B
ファイル名: totok_V2.8.3.10113.apk
検出: Android/Spy.ToSpy.A
説明: ToTokアプリを模倣したAndroid ToSpyスパイウェア。 - SHA-1: DB9FE6CC777C68215BB0361139119DAFEE3B3194
ファイル名: totok_Version_1_9_5_433.apk
検出: Android/Spy.ToSpy.A
説明: ToTokアプリを模倣したAndroid ToSpyスパイウェア。 - SHA-1: DE148DDFBF879AB2C12537ECCCDD0541A38A8231
ファイル名: v1_8_6_405_totok.apk
検出: Android/Spy.ToSpy.A
説明: ToTokアプリを模倣したAndroid ToSpyスパイウェア。 - SHA-1: CE378AE427E4BD70EAAED204C51811CD74F9A294
ファイル名: v1_8_7_408_totok.apk
検出: Android/Spy.ToSpy.A
説明: ToTokアプリを模倣したAndroid ToSpyスパイウェア。 - SHA-1: 7EFEFF53AAEBF4B31BFCC093F2332944C3A6C0F6
ファイル名: ae.totok.chat.apk
検出: Android/Spy.ProSp.A
説明: ToTok Proを模倣したAndroid ProSpyスパイウェア。 - SHA-1: 154D67F871FFA19DCE1A7646D5AE4FF00C509EE4
ファイル名: signal-encryption-plugin.apk
検出: Android/Spy.ProSp.A
説明: Signal Pluginを模倣したAndroid ProSpyスパイウェア。 - SHA-1: 154D67F871FFA19DCE1A7646D5AE4FF00C509EE4
ファイル名: signal_encyption_plugin.apk
検出: Android/Spy.ProSp.A
説明: Signal Pluginを模倣したAndroid ProSpyスパイウェア。 - SHA-1: 43F4DC193503947CB9449FE1CCA8D3FEB413A52D
ファイル名: toktok.apk
検出: Android/Spy.ProSp.A
説明: ToTok Proを模倣したAndroid ProSpyスパイウェア。 - SHA-1: 579F9E5DB2BEFCCB61C833B355733C24524457AB
ファイル名: totok.apk
検出: Android/Spy.ProSp.A
説明: ToTok Proを模倣したAndroid ProSpyスパイウェア。 - SHA-1: 80CA4C48FA831CD52041BB1E353149C052C17481
ファイル名: totok_encrypted_enStr.apk
検出: Android/Spy.ProSp.A
説明: ToTok Proを模倣したAndroid ProSpyスパイウェア。 - SHA-1: FFAAC2FDD9B6F5340D4202227B0B13E09F6ED031
ファイル名: signal-encryption-plugin.apk
検出: Android/Spy.ProSp.A
説明: Signal Pluginを模倣したAndroid ProSpyスパイウェア。