概要
ResidentBatは、ベラルーシの国家安全保障局(KGB)が使用するカスタムAndroidスパイウェアで、押収されたスマートフォンを長期間にわたる監視プラットフォームとして利用します。このマルウェアは、ジャーナリストや市民社会団体などの高価値ターゲットに対して精密な攻撃を行います。
ResidentBatの特徴
ResidentBatはPlayストアを経由せずに手動でインストールされ、USBデバッグ機能を有効にし、APKファイルをサイドロードするなどの手順が必要です。このマルウェアは、SMSや通話履歴、マイクを通じた音声録音、暗号化されたメッセージの内容、および端末上に保存されているファイルなど、幅広いデータを収集します。
遠隔操作機能
ResidentBatは、遠隔からデバイスをリセットする機能も備えており、これは被害者が証拠を消去したり、リスクのあるユーザーに対して報復を行うために使用される可能性があります。
C2サーバーの特徴
ResidentBatは特定のポート範囲(主に7000〜7257)でHTTPS通信を行い、自己署名証明書を使用します。これらの特性を活用することで、ネットワーク防御者はマルウェア活動を追跡することができます。
対策
高リスクのAndroidユーザーは、Android Advanced Protection Modeを有効にし、サイドロードとセキュリティポリシーを強化することで保護を強化できます。また、組織では物理的なデバイスの安全性やUSBデバッグコントロール、サイドロードポリシーやADBの使用状況などを監視することが重要です。