Kaspersky、Androidを標的とする高度なスパイ攻撃活動「PhantomLance」を発見、東南アジアでのサイバー攻撃を継続
PR TIMES / 2020年5月7日 15時5分
[本リリースは、2020年4月28日にKasperskyが発表したプレスリリースに基づき作成したものです]
--【概要】---
Kasperskyのリサーチャーは、Androidデバイスのユーザーを標的とするサイバー攻撃活動を発見しました。「PhantomLance」と名付けられたこの攻撃活動は、少なくとも2015年から始まり、現在も継続しています。既知のAPT攻撃グループOceanLotusによるものとみられるこの攻撃活動は、複数のバージョンの複雑なスパイウェア(標的のデータを収集するために作成されたソフトウェア)と、Google Playストア上の多数のアプリを配布手段としています。
--------------
2019年7月、他社のセキュリティリサーチャーが、Google Playストア上で新しいスパイウェアのマルウェアサンプルを発見したことを公開しました。Kasperskyのリサーチャーは、このサンプルの機能が公式ストアで見つかる一般的なトロイの木馬とは、精巧さや振る舞いにおいて非常に異なっていることに注視していましたが、その後、このスパイウェアの別のよく似たサンプルをGoogle Playストアで見つけることができました。通常、マルウェアの作成者が不正アプリを公式ストアへアップロードした後は、その不正アプリのインストール数を増やして標的を増加させるための宣伝に相当なリソースを費やします。しかしながら、新しく発見したこの不正アプリにはそのような動きが無かったため、それが標的型APT攻撃を見つけるきっかけとなりました。調査を継続する中で、コードの類似という点から、このスパイウェアの複数のバージョンと多数のサンプルを発見することができました。
Google Playストア上での新しいスパイウェアのマルウェアサンプルの発見についてはこちらをご覧ください。
https://news.drweb.com/show/?i=13349&c=0&p=0
発見したすべてのスパイウェアのサンプルの機能は類似しており、主な目的はインストールしたデバイスの情報を収集することでした。基本的な機能は、位置情報、通話ログ、連絡先およびSMSへのアクセスなどで、それほど多くありませんでしたが、既存アプリのリストやAndroidデバイスのモデル、OSのバージョンといったデバイス情報も収集していました。さらに攻撃者は、OSのバージョンや既存アプリなど、特定のデバイス毎ごとの環境に適したペイロードをインストールすることができたため、不必要な機能を排除しアプリに過度な負担をかけずに必要な情報だけを収集していました。
さらに調査を続ける中で、PhantomLanceがGoogle Playストアや非公式のアプリストアAPKpureAPKPureなどの、さまざまなプラットフォームで配布されていたことが明らかになりました。攻撃者は、不正アプリを正規アプリに見せかけるために、ほぼすべてのマルウェアについてソフトウェア開発に関するGitHubアカウントを登録し、偽の開発者プロフィールを作成しようとしていました。また、アプリストアのフィルタリングの仕組みをすり抜けるために、攻撃者がアップロードしたアプリの最初のバージョンには悪意のあるペイロードは含んでまれていませんでした。その後アップデートされたアプリには、ペイロードとそれらのペイロードをドロップして実行するコードが含まれていました。
Kaspersky Security Network※1のデータによると、2016年以来、ベトナム、インド、バングラデシュ、インドネシアなどの国々で、約300の感染の試みがAndroidデバイスで確認されています。検知の統計データには副次的な感染も含まれていましたが、ベトナムは攻撃の試行数が最も多い国の1つ一つとして突出していました。攻撃で使用された不正アプリの中には、ベトナム専用に作成されたものもありました。
Kasperskyのリサーチャーは、さまざまな悪意のあるコード間の類似性を検出することができる社内ツールであるマルウェアアトリビューションエンジンによって、PhantomLanceのペイロードがOceanLotusと関連のある古いAndroid攻撃のペイロードに少なくとも20%類似していると判断しました。OceanLotusは、主に東南アジアを標的に、少なくとも2013年以来活動しているサイバー攻撃活動です。さらに、以前発見されていたWindowsとMacOSへのOceanLotusの攻撃活動との重要な共通点がいくつか見つかりました。これらのことから、リサーチャーはPhantomLanceの攻撃をOceanLotusと結び付けることができると確信しています。
Kasperskyは、検知したすべてのサンプルについて、Google Playストア上の正規アプリのオーナーに報告しました。
Kasperskyのグローバル調査分析チーム(GReAT)※2のセキュリティリサーチャーであるアレクセイ・フィルシュ(Alexey Firsh)は次のように述べています。「この攻撃は、高度な技術を持つサイバー攻撃者がさらに奥深い所で活動し、見つけることが困難になっていることを示す顕著な例です。PhantomLanceは、5年以上前から活動しており、目的を達成するべく高度な技術を使用して、アプリストアのフィルタリングを複数回にわたってすり抜けていました。モバイルデバイスを主な感染対象とする動きがいっそう広がっており、多くの攻撃者が攻撃手法を進化させていることも確認しています。このような進化は、サイバー攻撃者を追跡してさまざまな攻撃の共通点を見つけることができる脅威インテリジェンスと、支援サービスの継続的な向上が重要であることを浮き彫りにしています」
PhantomLance攻撃活動の詳細は、Securelistブログ(英語)「Hiding in plain sight: PhantomLance walks into a market」でご覧いただけます。
https://securelist.com/apt-phantomlance/96772/
※1 Kaspersky Security Network(KSN)
KSNは、世界各地の数百万人の任意のカスペルスキー製品ユーザーから取得したサイバーセキュリティ関連のデータを高度に処理する、クラウドベースの複合インフラストラクチャです。KSNは取得したデータをクラウド上で自動分析することで、すべてのユーザーとパートナーに対して、新しい未知のサイバー脅威に対する最短の応答時間と最高レベルのプロテクションを実現します。すべての情報は、ユーザーの同意を得て取得されています。
※2 Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは、1997年に設立された世界的なサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスと専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、27万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
[画像: https://prtimes.jp/i/11471/187/resize/d11471-187-337751-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告
PR TIMES / 2024年4月26日 18時40分
-
Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
PR TIMES / 2024年4月18日 16時45分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
-
Apple、日本を含む世界の一部ユーザーにスパイウエアの「脅威の通知」
ITmedia Mobile / 2024年4月12日 23時42分
-
カスペルスキー、「Kaspersky Threat Analysis」に類似サンプル検索を追加
週刊BCN+ / 2024年4月5日 13時35分
ランキング
-
1箱根にフロントもない「無人ホテル」開業 〝不便さ〟感じる? 記者が体験してみた
カナロコ by 神奈川新聞 / 2024年5月4日 18時38分
-
2周りの人にどう思われているか気になります…他人の評価に「一喜一憂」しないためにはどうしたらいいですか?【現役住職の“天晴れ”な答え】
THE GOLD ONLINE(ゴールドオンライン) / 2024年5月4日 13時0分
-
3日銀がこれほどまで円安を「無視」する3つの理由 「為替は管轄外」では、結局うまくいかない?
東洋経済オンライン / 2024年5月4日 9時30分
-
424年度の企業倒産、1万件超か 原材料高、人手不足が収支圧迫
共同通信 / 2024年5月4日 15時30分
-
5相鉄線「屈指の閑散駅」ついに一新へ! 大幅イメチェン&新改札も 完成時期は?
乗りものニュース / 2024年5月4日 8時42分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください