Arsink RATの概要
「Arsink」は、クラウドネイティブなAndroid向けリモートアクセス型トロイの木馬(RAT)であり、感染したデバイスから機密情報を窃取し、攻撃者に深い制御を可能にします。このマルウェアは、Google Apps Script、Google Drive、Firebase Realtime Database (RTDB)、Firebase Storage、そして時にはTelegramを悪用し、コマンド&コントロール(C2)通信や窃取したファイルの持ち出しに利用しています。
このキャンペーンは大規模に展開されており、観測期間中に1,216種の異なるAPKハッシュが特定されています。これは、多数の再パッケージ化されたビルドと頻繁な更新を示唆しています。研究者によると、Googleのサービスはメディアおよびファイルの転送に特に多く利用されており、774のサンプルにGoogle Apps Scriptまたは「マクロ」アップロードロジックが含まれていました。また、C2サーバーまたはデータシンクとして317のユニークなFirebase RTDBエンドポイントが確認され、インフラの列挙により約45,000のユニークな被害者IPアドレスが判明しています。
Arsink RATの拡散経路
Arsinkは、単一の脆弱性悪用チェーンではなく、主にソーシャルエンジニアリングを通じて拡散しています。悪意のあるAPKは、Telegramチャンネル、Discord投稿、およびMediaFireなどのサービスでホストされている直接ダウンロードリンクを介して共有されます。
攻撃者は、Google、YouTube、WhatsApp、Instagram、Facebook、TikTokなど、50以上の有名ブランドを模倣し、マルウェアを本物のアプリの「mod版」「pro版」「premium版」として偽装しています。これらの偽装アプリは、ほとんどの場合、正当な機能はほとんどなく、最小限のUIしか表示せず、すぐに機密性の高い権限を要求し、その後はバックグラウンドで静かに実行されます。
主な亜種と機能
観測されたサンプルは、運用上の特徴に基づいて以下の4つの亜種に分類されます。
- Firebase + Apps Script/Drive亜種: 構造化されたテレメトリーをRTDBに保存し、より大きなコンテンツをApps Script経由でアップロードします。
- Telegram持ち出し亜種: 窃取したデータを攻撃者によって制御されるボットに直接送信します。
- 組み込みペイロード型ドロッパー亜種: アプリのアセットからセカンダリのAPKを抽出します。
インストール後、Arsinkは以下の情報を窃取できます。
- デバイス識別子、パブリックIPアドレス、おおよその位置情報、デバイス上のGoogleアカウントのメールアドレス。
- SMSメッセージ、通話履歴、連絡先。
- マイク音声の録音、外部ストレージ上の写真やファイルの列挙。
さらに、遠隔からのコマンドとして、懐中電灯の切り替え、デバイスの振動、メッセージ表示、テキスト読み上げ、ファイル操作、通話の開始、さらには外部ストレージのワイプなどが可能です。
被害地域と対策
被害デバイスが最も集中しているのは、エジプト(約13,000台)、インドネシア(約7,000台)、イラク(約3,000台)、イエメン(約3,000台)、トルコ(約2,000台)です。また、パキスタン(約2,500台)、インド(約2,500台)、バングラデシュ(約1,600台)、アルジェリア、モロッコ(それぞれ約1,000台)などの北アフリカ諸国でも顕著な被害が確認されています。
Googleは、既知のArsinkバージョンはGoogle Playには存在しないと述べており、Play ProtectはPlayストア以外からインストールされた疑わしいアプリを含む警告やブロックが可能です。Arsinkはステルス性と永続性を確保するために、ランチャーアイコンを隠し、永続的な通知を伴うフォアグラウンドサービスを実行できます。zLabsはGoogleと協力し、悪意のあるFirebaseエンドポイントとApps Scriptインフラの報告と停止措置を講じています。
しかし、防御側は、急速な亜種の変更と柔軟なデータ持ち出し経路のため、ユーザーは依然として強力なデバイスレベルの衛生管理が必要であると警告しています。具体的には、サイドロードされた「mod」APKを避け、チャットアプリ内のブランドをテーマにしたダウンロードリンクは高リスクと見なすべきです。